查看: 149093|回复: 566

通过入侵Outlook Web应用(OWA)服务器来破坏机构网络

[复制链接]
  • TA的每日心情
    慵懒
    2024-12-2 09:11
  • 签到天数: 919 天

    [LV.10]以坛为家III

    发表于 2015-10-8 06:29:00 | 显示全部楼层 |阅读模式
    14441491726443.jpg
    研究人员发现了一种先进的恶意软件,它可以通过感染机构的Outlook Web应用(OWA)邮件服务器来破坏机构的网络。

    机构网络新型攻击方式

    根据Cybereason安全公司的专家们的消息,网络威胁者通过一个Web邮件服务器攻陷了一个不知名的机构网络,并对它进行了数个月的控制。受害者是一个总部在美国的中型公共服务公司,该公司联系了Cybereason公司以调查可能的入侵方式。Cybereason在受害者的19000个端点上部署其产品,以此识别攻击源头并减轻攻击的影响。

    在调查过程中,Cybereason发现了一个可疑的DLL文件,该文件被加载到了该机构的微软Outlook Web应用(Outlook Web App,OWA)服务器。该机构使用这个服务器来使得远程用户能够访问Outlook。
    14441445833111.jpg
    OWA是微软Exchange服务器(从5.0版本开始)的一个Web邮箱组件,它允许用户通过使用任何Web浏览器来访问他们的Exchange服务器邮箱。而袭击者在该机构的非警戒区域植入了一个可通过Web访问的服务器后门。

    Cybereason发布的一篇报告中声明道:

    “OWA是独一无二的:它是一个关键的内部基础设施,同时它也面临着互联网,使其作为内部、受保护的DMZ以及Web之间的一个中间层。OWA的这个配置创建了一个理想的攻击平台,因为服务器同时暴露在内部和外部。因为OWA认证是基于域凭据的,所以获取访问OWA服务器权限的人将成为整个机构的域凭据的拥有者。”
    14441446385409.jpg
    攻击原理介绍

    Cybereason的专家们发现了一个可疑的DLL“OWAAUTH.dll”,它与用于身份认证机制的合法OWA DLL名字相同。此外,专家们注意到一些奇怪的内容,因为这个DDL的代码是无符号的,并且它是从一个不同的文件夹进行加载的。

    报告中陈述道:

    “黑客安装了一个带有后门的恶意OWAAUTH.dll,OWA使用该DLL作为身份验证机制的一部分,并负责验证环境中所用的活动目录(Active Directory,AD)服务器用户身份。此外,恶意OWAAUTH.DLL还向IIS服务器中安装了一个ISAPI过滤器,并会过滤HTTP请求。”
    这种设置使得在SSL/TLS解密并提取用户凭证之后,黑客能够以明文形式获得所有请求,网络威胁者在注册表中安装过滤器,以此确保持久性的感染,然后在服务器每次重启之后都会加载恶意代码。提取的身份验证凭证存储在一个加密的文本文件中。

    专家们解密了文件,发现超过11000个属于被黑机构公司的凭证。

    这些恶意代码提供了存在于目标系统中的完整功能性后门,它允许攻击者操纵OWA服务器上的文件,并使其能够执行命令和任意代码。Cybereason报告中继续陈述道:

    “根据定义,OWA要求机构定义一组相对宽松的限制;在这种情况下,OWA配置的方式允许以面向互联网的方式访问服务器,这使得黑客能够在几个月的时间段内不被检测到的情况下,对整个机构的环境建立持久控制。”
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-10-8 13:47:04 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-9 05:20:44 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-9 11:40:56 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-9 14:10:19 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-10 00:04:15 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-10 15:43:50 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-10 23:21:32 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-11 21:36:04 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-12 16:18:59 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-19 03:48 , Processed in 0.025232 second(s), 15 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部