专栏首页FreeBuf攻击新姿势:通过入侵Outlook Web应用(OWA)服务器来破坏机构网络

攻击新姿势:通过入侵Outlook Web应用(OWA)服务器来破坏机构网络

研究人员发现了一种先进的恶意软件,它可以通过感染机构的Outlook Web应用(OWA)邮件服务器来破坏机构的网络。

机构网络新型攻击方式

根据Cybereason安全公司的专家们的消息,网络威胁者通过一个Web邮件服务器攻陷了一个不知名的机构网络,并对它进行了数个月的控制。受害者是一个总部在美国的中型公共服务公司,该公司联系了Cybereason公司以调查可能的入侵方式。Cybereason在受害者的19000个端点上部署其产品,以此识别攻击源头并减轻攻击的影响。

在调查过程中,Cybereason发现了一个可疑的DLL文件,该文件被加载到了该机构的微软Outlook Web应用(Outlook Web App,OWA)服务器。该机构使用这个服务器来使得远程用户能够访问Outlook。

OWA是微软Exchange服务器(从5.0版本开始)的一个Web邮箱组件,它允许用户通过使用任何Web浏览器来访问他们的Exchange服务器邮箱。而袭击者在该机构的非警戒区域植入了一个可通过Web访问的服务器后门。

Cybereason发布的一篇报告中声明道:

OWA是独一无二的:它是一个关键的内部基础设施,同时它也面临着互联网,使其作为内部、受保护的DMZ以及Web之间的一个中间层。OWA的这个配置创建了一个理想的攻击平台,因为服务器同时暴露在内部和外部。因为OWA认证是基于域凭据的,所以获取访问OWA服务器权限的人将成为整个机构的域凭据的拥有者。”

攻击原理介绍

Cybereason的专家们发现了一个可疑的DLL“OWAAUTH.dll”,它与用于身份认证机制的合法OWA DLL名字相同。此外,专家们注意到一些奇怪的内容,因为这个DDL的代码是无符号的,并且它是从一个不同的文件夹进行加载的。

报告中陈述道:

黑客安装了一个带有后门的恶意OWAAUTH.dll,OWA使用该DLL作为身份验证机制的一部分,并负责验证环境中所用的活动目录(Active Directory,AD)服务器用户身份。此外,恶意OWAAUTH.DLL还向IIS服务器中安装了一个ISAPI过滤器,并会过滤HTTP请求。”

这种设置使得在SSL/TLS解密并提取用户凭证之后,黑客能够以明文形式获得所有请求,网络威胁者在注册表中安装过滤器,以此确保持久性的感染,然后在服务器每次重启之后都会加载恶意代码。提取的身份验证凭证存储在一个加密的文本文件中。

专家们解密了文件,发现超过11000个属于被黑机构公司的凭证。

这些恶意代码提供了存在于目标系统中的完整功能性后门,它允许攻击者操纵OWA服务器上的文件,并使其能够执行命令和任意代码。Cybereason报告中继续陈述道:

根据定义,OWA要求机构定义一组相对宽松的限制;在这种情况下,OWA配置的方式允许以面向互联网的方式访问服务器,这使得黑客能够在几个月的时间段内不被检测到的情况下,对整个机构的环境建立持久控制。”

*参考来源:securityaffairs、thehackernews,FB小编JackFree编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-10-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 八百元八核的服务器?二手服务器搭建指南

    当你在花近万元剁手i7 5960x时,有没有想过,在华强北的某个角落,有一群人靠几百块收来的二手服务器配件,搭建了一台性能同等,甚至更强的服务器! 首先,在看此...

    FB客服
  • 外媒调查:政府官员需要完成基本的网络安全培训吗?

    前段时间 FreeBuf 报道了一则关于日本网络安全部长从没使用过电脑的消息?虽然大部分人觉得有点讽刺意思,但确实也存在一定的探讨价值。网络安全部长连计算机都不...

    FB客服
  • crossdomain.xml文件配置不当利用手法

    不恰当的crossdomain.xml配置对存放了敏感信息的域来说是具有很大风险的。可能导致敏感信息被窃取和请求伪造。攻击者不仅仅可以发送请求,还可以读取服务器...

    FB客服
  • 利用腾讯云服务器搭建 Typecho 博客

    Typecho是一个基于PHP的简洁的开源博客程序。它使用多种数据库(MySQL,PostgreSQL,SQLite)储存数据,在GNU GPLv2许可证下发行...

    用户2416682
  • 都知道网站404 可你知道为啥是404吗?

    每当浏览网页出现“404错误”时,我们都知道这表示该网页出现了访问错误,也就是页面丢失。其实,这早已是人尽皆知的常识。作为一种标准的HTTP返回代码,404被用...

    企鹅号小编
  • 利用腾讯云服务器搭建 Typecho 博客

    Typecho是一个基于PHP的简洁的开源博客程序。它使用多种数据库(MySQL,PostgreSQL,SQLite)储存数据,在GNU GPLv2许可证下发行...

    用户6527643
  • 使用Numpy和Opencv完成图像的基本数据分析(Part III)

    本文是使用python进行图像基本处理系列的第三部分,在本人之前的文章里介绍了一些非常基本的图像分析操作,见文章《使用Numpy和Opencv完成...

    用户3578099
  • sql 2000 无法连接远程数据库 sqlserver不存在或访问被拒绝 解决方案

    一 看ping 服务器IP能否ping通。    这个实际上是看和远程sql server 2000服务器的物理连接是否存在。如果不行,请检查网络,查看配置,当...

    lpxxn
  • python http 认证 auth

    py3study
  • Android-Kotlin VS Flutter-Dart - 自定义控制摇杆

    张风捷特烈

扫码关注云+社区

领取腾讯云代金券