منو سایت

Owowa Thieves برای احراز هویت Microsoft Exchange Exchange

 تاریخ انتشار :
/
  اخبار استارتاپ
Log4Shell برای هک سرورهای VMWare استفاده می شود

اوواوا دزد اطلاعات مایکروسافت اکسچنج

Owowa یک ماژول است که برای IIS طراحی شده است. اما محققان کسپرسکی اخیرا هدف اصلی این ماژول مخرب را فاش کردند. ماموریت Owowa سرقت اطلاعات احراز هویت کاربر Microsoft Exchange و اجرای دستورات مهاجم از راه دور است. این ماژول در حین کار خود یک درب پشتی بر روی سرور ایجاد می کند که به مهاجمان امکان حضور مداوم را می دهد.

البته این اولین بار نیست که مهاجمان IIS یا سرویس های اطلاعات اینترنتی را هدف قرار می دهند. زیرا وقتی صحبت از وب سرویس ها می شود، IIS را می توان ستون فقرات Microsoft Exchange در نظر گرفت. در واقع آنها می توانند سرورهای Microsoft Exchange را از طریق IIS مورد هدف قرار دهند. این امر همچنین به آنها انگیزه می دهد تا هر از گاهی کمپین های ضد IIS را راه اندازی کنند. به گفته ESET، تاکنون، محققان اهداف مخربی را در 14 خانواده از ماژول‌هایی که گفته می‌شود برای IIS توسعه یافته‌اند، یافته‌اند. در دنیای امنیت، IIS قبلاً به عنوان سطح حمله شناخته می شود که گاهی در حملات پیشرفته توسط مهاجمان دولتی و گاهی برای اهداف شخصی توسط مهاجمان مورد حمله قرار می گیرد.

Owowa در حال سرقت اعتبار Exchange است

اوووا چیست؟

Owowa یک ماژول برای وب سرورهای IIS در دات نت است. نسخه 4 با استفاده از زبان #C توسعه یافته است. اما این فقط ظاهر است. هدف اصلی این ماژول مخرب سرقت اطلاعات احراز هویت کاربرانی است که از طریق وب سایت OWA وارد می شوند. این ماژول پس از سرقت اطلاعات احراز هویت کاربر، دستورات مورد نظر مهاجمان را از راه دور دریافت کرده و در نام کاربری و رمز عبور قرار می دهد. پس از این مرحله مهاجمان با اجرای این دستورات به اهداف خود می رسند و اووا به عنوان درب پشتی برای آنها عمل می کند. در نتیجه ممکن است حضور مستمری روی سرور داشته باشند.

چرا اوووا؟

اکثر حملات به سرورهای Microsoft Exchange از طریق WebShell انجام می شود. در نتیجه، راه حل های امنیتی کلیدی بر شناسایی انواع رایج تهدیدات وب، از جمله WebShell تمرکز می کنند. استفاده از ماژول IIS به عنوان یک درب پشتی به اندازه سایر تهدیدات رایج نبود. در این حالت، مهاجمان بیشتر از تصمیمات امنیتی پنهان می شوند. همچنین زمانی که سرور به روز می شود، این درب پشتی باقی می ماند و به کار خود ادامه می دهد. بنابراین استفاده از ماژول های IIS در حملات امنیتی سود زیادی برای مهاجمان خواهد داشت.

Owowa چگونه کار می کند؟

این ماژول مخرب برای هدایت برنامه OWA به طور مستقیم به سرورهای Microsoft Exchange طراحی شده است. Owowa اطلاعات احراز هویت را از کاربرانی که با موفقیت در وب سایت OWA احراز هویت شده اند می دزدد. بسیاری از مدیران از OWA برای تأیید حساب های خود استفاده می کنند. آنها این روش را به ایجاد یک حساب Outlook جدید ترجیح می دهند. علاوه بر این، برخی از برنامه ها از OWA برای احراز هویت استفاده می کنند. موارد فوق به خوبی نشان می دهد که مهاجمان روی چه چیزی تمرکز کرده اند. Owowa نام کاربری، رمز عبور، آدرس IP و مهر زمان فعلی را ذخیره می کند. سپس این داده های دزدیده شده را رمزگذاری می کند. سپس با قرار دادن دستورات در اطلاعات احراز هویت، دستورات مورد نظر مهاجمان را اجرا می کند. دستوراتی که می توانند برای جمع آوری داده های مهم برای اجرای WebShell بر روی سرور استفاده شوند.

اهداف این حملات

به گفته محققان کسپرسکی، مراکز دولتی در برخی از کشورهای آسیای شرقی توسط Owowa شناسایی شده است. یکی از این مراکز به سیستم حمل و نقل عمومی متصل بود. همچنین گزارش هایی مبنی بر فعالیت مهاجمان در اروپا از طریق این ماژول مخرب وجود دارد.

راه حل چیست؟

تمیز کردن ماژول Owowa بهترین راه حل است. در مرحله اول باید بدانید که آیا این ماژول روی سرور شما نصب است یا خیر؟! برای این کار می توانید دستور appcmd.exe را اجرا کنید. همچنین می توانید با استفاده از ابزار IIS Config Tool این مشکل را بررسی کنید. فایل های پیکربندی IIS معمولاً به صورت محلی در دستگاه و در فایل های متنی ذخیره می شوند. به طور کلی، حذف این ماژول مخرب از IIS ممکن است بهترین راه حل موجود باشد.

آرمان داده پویان انواع تست های نفوذ وب و اپلیکیشن های تحت وب را ارائه می دهد

با ما تماس بگیرید

از Owowa The Microsoft Exchange Authenticating Thief اولین بار در پویان آرمان داده پدیدار شد.