Business e-mail Enterprise Exchange Outlook SMB web applications web threats دانلود کانکشن هوشمند تونل

ماژول مخرب در وب سرور IIS

ماژول مخرب در وب سرور IIS

یک ماژول مخرب خدمات اطلاعات اینترنتی (IIS) در حال تبدیل Outlook در وب به ابزاری برای سرقت اطلاعات کاربری و یک پانل دسترسی از راه دور است. بازیگران ناشناس از ماژول، که محققان ما آن را OWOWA می نامند، در حملات هدفمند استفاده کرده اند. ، یا به سادگی OWA) یک رابط مبتنی بر وب برای دسترسی به سرویس مدیریت اطلاعات شخصی مایکروسافت است. این برنامه بر روی سرورهای وب دارای IIS مستقر شده است.

بسیاری از شرکت‌ها از آن برای ارائه دسترسی از راه دور به صندوق‌های پستی و تقویم‌های شرکتی بدون نیاز به نصب کلاینت اختصاصی برای کارمندان استفاده می‌کنند. روش‌های مختلفی برای پیاده‌سازی Outlook در وب وجود دارد که یکی از آنها استفاده از Exchange Server در سایت است که مجرمان سایبری به سمت آن کشیده می‌شوند. در تئوری، به دست آوردن کنترل این برنامه به آنها امکان دسترسی به تمام مکاتبات شرکتی، همراه با فرصت های بی پایان برای گسترش حملات خود به زیرساخت و راه اندازی کمپین های اضافی BEC را می دهد. یک ماژول برای همه برنامه های سازگار، اما هدف آن رهگیری اعتبارنامه های وارد شده به OWA است. بدافزار درخواست‌ها و پاسخ‌ها را در Outlook در صفحه ورود به وب بررسی می‌کند، و اگر ببیند کاربری اعتبارنامه‌ها را وارد کرده و در پاسخ یک نشانه احراز هویت دریافت کرده است، نام کاربری و رمز عبور را در یک فایل (به صورت رمزگذاری‌شده) می‌نویسد.

در علاوه بر این، OOWA به مهاجمان اجازه می دهد تا عملکرد آن را مستقیماً از طریق همان فرم احراز هویت کنترل کنند. با وارد کردن دستورات خاص در فیلدهای نام کاربری و رمز عبور، مهاجم می‌تواند اطلاعات جمع‌آوری‌شده را بازیابی کند، فایل گزارش را حذف کند، یا دستورات دلخواه را روی سرور در معرض خطر از طریق PowerShell اجرا کند. مصالحه، به پست Securelist مراجعه کنید.

قربانیان حملات OWOWA چه کسانی هستند؟

کارشناسان ما حملات مبتنی بر OOWA را به سرورها در چندین کشور آسیایی شناسایی کردند: مالزی، مغولستان، اندونزی و فیلیپین. با این حال، کارشناسان ما دلایلی برای این باور دارند که مجرمان سایبری نیز به سازمان‌های اروپایی علاقه‌مند هستند.

اکثر اهداف سازمان‌های دولتی بودند که حداقل یکی از آنها یک شرکت حمل‌ونقل (همچنین دولتی) بود.

نحوه محافظت در برابر OWOWA

می‌توانید از دستور appcmd.exe – یا ابزار پیکربندی IIS معمولی – برای شناسایی ماژول مخرب OOWA (یا هر ماژول IIS شخص ثالث) در وب سرور IIS استفاده کنید. با این حال، به خاطر داشته باشید که هر سروری که در اینترنت قرار دارد، مانند هر کامپیوتر دیگری، نیاز به محافظت دارد.

(function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(d.getElementById(id)){return}js=d.createElement(s);js.id= id;js.src="https://connect.facebook.net/en_US/all.js";fjs.parentNode.insertBefore(js,fjs)}(document,"script","facebook-jssdk "))؛

Kaspersky official blog