e-mail
Szkodliwy moduł internetowych usług informacyjnych (IIS) zamienia program Outlook w narzędzie do kradzieży danych logowania i panel dostępu zdalnego. Nieznane osoby wykorzystały już ten moduł (nazwany przez naszych badaczy OWOWA) do przeprowadzania ataków ukierunkowanych.
Dlaczego aplikacja Outlook w internecie przyciąga hakerów
Internetowy Outlook (wcześniej znany jako Exchange Web Connect, Outlook Web Access i Outlook Web App — lub po prostu OWA) to oparty na internecie interfejs umożliwiający dostęp do usługi firmy Microsoft o nazwie „Zarządca informacji osobistej” (ang. Personal Information Manager). Aplikacja ta jest wdrażana na serwerach internetowych z uruchomionymi usługami IIS.
Wiele firm wykorzystuje ją do zapewnienia pracownikom zdalnego dostępu do firmowych skrzynek pocztowych i kalendarzy bez konieczności instalowania specjalnego klienta. Istnieje kilka metod implementacji Outlooka w internecie, a jedna z nich polega na korzystaniu z rozwiązania Exchange Server lokalnie, co przyciąga cyberprzestępców. Teoretycznie przejęcie kontroli nad tą aplikacją daje im dostęp do całej firmowej korespondencji, a także nieskończone możliwości rozszerzenia ataku w infrastrukturze i uruchomienia dodatkowych kampanii BEC.
Jak działa OWOWA
OWOWA ładuje się na zainfekowanych serwerach sieci Web IIS jako moduł dla wszystkich kompatybilnych aplikacji, ale jej celem jest przechwytywanie danych logowania wprowadzonych na stronie OWA. Następnie to szkodliwe oprogramowanie sprawdza żądania i odpowiedzi w programie Outlook na stronie logowania, a jeśli zobaczy, że użytkownik wprowadził swoje poświadczenia i w odpowiedzi otrzymał token uwierzytelniający, zapisuje nazwę użytkownika i hasło do pliku (w postaci zaszyfrowanej).
Ponadto OWOWA umożliwia atakującym kontrolowanie funkcjonalności szkodliwego programu bezpośrednio poprzez ten sam formularz uwierzytelniający. Wprowadzając w polach nazwy użytkownika i hasła określone polecenia, osoba atakująca może pozyskać zebrane informacje, usunąć plik dziennika lub wykonać dowolne polecenia na zainfekowanym serwerze za pośrednictwem programu PowerShell.
Aby poznać bardziej szczegółowy opis techniczny modułu oraz wskaźniki naruszenia bezpieczeństwa, przeczytaj nasz post w serwisie SecureList.
Kim są ofiary ataków OWOWA
Nasi eksperci wykryli ataki oparte na OWOWA wymierzone w serwery zlokalizowane w kilku krajach azjatyckich: Malezji, Mongolii, Indonezji i na Filipinach. Nasi eksperci mają jednak powody, by sądzić, że cyberprzestępcy są również zainteresowani organizacjami w Europie.
Większość celów stanowiły agencje rządowe, z których co najmniej jedna była przedsiębiorstwem transportowym (również państwowym).
Jak chronić się przed OWOWA
Szkodliwy moduł OWOWA (lub dowolny inny moduł usług IIS) można wykryć na serwerze sieciowym usług IIS za pomocą polecenia appcmd.exe — lub zwykłego narzędzia konfiguracyjnego usług IIS. Należy jednak pamiętać, że każdy serwer sieciowy, jak każdy komputer, wymaga ochrony.
Porady