攻击新姿势:通过入侵Outlook Web应用(OWA)服务器来破坏机构网络

研究人员发现了一种先进的恶意软件,它可以通过感染机构的Outlook Web应用(OWA)邮件服务器来破坏机构的网络。

机构网络新型攻击方式

根据Cybereason安全公司的专家们的消息,网络威胁者通过一个Web邮件服务器攻陷了一个不知名的机构网络,并对它进行了数个月的控制。受害者是一个总部在美国的中型公共服务公司,该公司联系了Cybereason公司以调查可能的入侵方式。Cybereason在受害者的19000个端点上部署其产品,以此识别攻击源头并减轻攻击的影响。

在调查过程中,Cybereason发现了一个可疑的DLL文件,该文件被加载到了该机构的微软Outlook Web应用(Outlook Web App,OWA)服务器。该机构使用这个服务器来使得远程用户能够访问Outlook。

OWA是微软Exchange服务器(从5.0版本开始)的一个Web邮箱组件,它允许用户通过使用任何Web浏览器来访问他们的Exchange服务器邮箱。而袭击者在该机构的非警戒区域植入了一个可通过Web访问的服务器后门。

Cybereason发布的一篇报告中声明道:

OWA是独一无二的:它是一个关键的内部基础设施,同时它也面临着互联网,使其作为内部、受保护的DMZ以及Web之间的一个中间层。OWA的这个配置创建了一个理想的攻击平台,因为服务器同时暴露在内部和外部。因为OWA认证是基于域凭据的,所以获取访问OWA服务器权限的人将成为整个机构的域凭据的拥有者。”

攻击原理介绍

Cybereason的专家们发现了一个可疑的DLL“OWAAUTH.dll”,它与用于身份认证机制的合法OWA DLL名字相同。此外,专家们注意到一些奇怪的内容,因为这个DDL的代码是无符号的,并且它是从一个不同的文件夹进行加载的。

报告中陈述道:

黑客安装了一个带有后门的恶意OWAAUTH.dll,OWA使用该DLL作为身份验证机制的一部分,并负责验证环境中所用的活动目录(Active Directory,AD)服务器用户身份。此外,恶意OWAAUTH.DLL还向IIS服务器中安装了一个ISAPI过滤器,并会过滤HTTP请求。”

这种设置使得在SSL/TLS解密并提取用户凭证之后,黑客能够以明文形式获得所有请求,网络威胁者在注册表中安装过滤器,以此确保持久性的感染,然后在服务器每次重启之后都会加载恶意代码。提取的身份验证凭证存储在一个加密的文本文件中。

专家们解密了文件,发现超过11000个属于被黑机构公司的凭证。

这些恶意代码提供了存在于目标系统中的完整功能性后门,它允许攻击者操纵OWA服务器上的文件,并使其能够执行命令和任意代码。Cybereason报告中继续陈述道:

根据定义,OWA要求机构定义一组相对宽松的限制;在这种情况下,OWA配置的方式允许以面向互联网的方式访问服务器,这使得黑客能够在几个月的时间段内不被检测到的情况下,对整个机构的环境建立持久控制。”

*参考来源:securityaffairs、thehackernews,FB小编JackFree编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-10-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

使用云计算灾难恢复计划制定勒索软件恢复策略

如今,企业需要确保快照和云计算出现勒索软件,此外对备份存储执行严格的控制,以增加应对攻击的安全性。 如果勒索软件没有让IT人员夜不能寐,那么他很幸运。而如果一个...

4386
来自专栏SAP最佳业务实践

SAP最佳业务实践:MM–采购报价(128)-3报价

4.2 ME4S报价请求清单 在此活动中,显示刚刚创建的报价请求。 角色:采购员 后勤-物料管理-采购-询价/报价-报价邀请-清单显示-按汇总号 1. ...

3545
来自专栏程序员互动联盟

黑客利用Wi-Fi攻击你的七种方法

Wifi热点随处可见,我们好多人进入饭店,茶餐厅等第一句话就是:有没有wifi啊?我们知道公共wifi是非常容易受到攻击的。那么家用wifi呢?下面的文章介绍了...

3966
来自专栏安恒信息

解密 | 方程式组织如何控制“肉鸡”

刚刚过去的这个周末,影子经纪人(Shadow Brokers)和方程式(Equation Group)赚足了安全圈媒体的眼球。一个名为影子经纪人的组织或个人声称...

3075
来自专栏安恒信息

80%最畅销SOHO无线路由器发现安全漏洞

经过对很多小型和家庭办公使用最多的无线路由器的安全性进行检测之后发现,在亚马逊前25名最畅销的SOHO无线路由器中,80%存在安全漏洞。 ...

3769
来自专栏安恒信息

WPcache-Blogger感染事件影响五万WordPress网站

近期WordPress安全事件最近频发,上次出了一个恶意软件SoakSoak,现在又出现一个与其有关的恶意软件感染事件—WPcache-Blogger。这次事件...

2895
来自专栏FreeBuf

WanaCrypt0r“想哭”勒索蠕虫数据恢复可行性分析报告

目录 第一章 前言… 第二章 加密文件核心流程分析… 第三章 数据恢复可行性分析… 第四章 总结… 第一章 前言 近日,360互联网安全中心发现全球多个国家和地...

2196
来自专栏SAP最佳业务实践

SAP最佳业务实践:外委生产(249)-6委外采购发票校验

MIRO转包 PO 的发票收据 在该活动中完成发票校验。 后勤®物料管理®采购®采购订单®后继功能®后勤发票校验 1. 如果弹出输入公司代码 对话框,输入 公司...

2999
来自专栏安恒信息

动态 | 已确认超过9万台机器被植入DoublePulsar后门

北京时间 2017 年 4 月 14 日晚,黑客团体Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,内含 2...

4549
来自专栏Seebug漏洞平台

BlackOasis APT 和利用 0day 漏洞的新目标攻击

原文地址:https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-z...

3245

扫码关注云+社区

领取腾讯云代金券