マルウェアを盗む新しいMicrosoftExchangeクレデンシャルは、フィッシングよりも悪い可能性があります
今年のゼロデイ攻撃を受けて追加のExchangeの脆弱性を探しているときに、Kasperskyは、誰かがログインするたびに、どこでも、OWAから資格情報を収集するIISアドオンを見つけました。
Kasperskyは、Microsoftのインターネットインフォメーションサービス用の悪意のあるアドオンを発見しました(IIS)ExchangeおよびOfficeのWebメールクライアントであるOutlook Web Access(OWA)から資格情報を収集するように設計されていると言われているWebサーバーソフトウェア365。
適切に吹き替えられたが、議論の余地のある発音であるOwowa、Kasperskyの研究者は、3月をきっかけにアドオンを発見しました2021Exchangeサーバーのハッキング。 「MicrosoftExchangeサーバーを標的とした潜在的に悪意のあるインプラントを探しているときに、最近マルチスキャナーサービスに送信された疑わしいバイナリを特定しました2020」と、Kasperskyは発見の発表で述べました。
見る: Google Chrome:知っておく必要のあるセキュリティとUIのヒント(TechRepublic Premium)
OwowaはIISのアドオンであり、Microsoftが30独立したモジュール。 OwowaはIISにインストールされるように設計されており、インストールされると、インストールされたIISサーバーが企業のExchangeサーバーのOWAポータルを公開する責任があるという証拠を探します。
Owowaは、OWAがホストマシンで動作していることを確認すると、認証トークンを検出することにより、OWAを介したExchangeへのすべての正常なログインをログに記録します。見つかった場合、Owowaはユーザー名、パスワード、ユーザーIPアドレス、タイムスタンプをRSA暗号化された一時ファイルに保存します。
ここでOwowaが非常に興味深いものになります。攻撃者がデータを収集するために必要なのは、実際にはコマンドである3つのぎこちないユーザー名の1つをOWAに入力することだけです。ベースにエンコードされた資格情報ログを返します64、2番目は資格情報ログを削除し、3番目はパスワードフィールドに入力されたPowerShellコマンドを実行します。うわぁ。
Owowa
1つのことを明確にするために、Owowaは非常に危険である可能性があるとKasperskyGlobalは述べています調査分析チームの上級セキュリティ研究者PierreDelcher。
“これは、フィッシングメールを送信するよりもはるかにステルスな方法でリモートアクセスを取得できます。さらに、IIS構成ツールを利用してこのような脅威を検出できますが、これらは標準のファイルおよびネットワーク監視アクティビティの一部ではありません。そのため、Owowaはセキュリティツールによって簡単に見落とされる可能性があります」とDelcher氏は述べています。
これも仮説ではありません。Owowaはマレーシア、モンゴル、インドネシア、フィリピンの政府機関や州機関を標的にしているのが見られ、Kasperskyはヨーロッパにも追加の犠牲者がいる可能性があると述べました。緊張するもう1つの理由:Kasperskyは、Owowaが最初に被害者にどの程度正確に感染しているかを知りません。
「この投稿で説明されている悪意のあるモジュールは、攻撃者がExchangeサーバー内にとどまることで、標的となるネットワークに強力な足場を築くための効果的なオプションです」とKaspersky氏は述べています。 Exchangeサーバーが更新されたときの永続性、無害な要求で悪意のあるコードを送信する機能、成功するためにユーザーの混乱に依存することを排除する完全に受動的な性質などの理由を挙げました。
Kasperskyは、Owowa感染が追加の感染チェーンまたは感染後の活動を開始するために使用されたことを示すのに十分なデータを取得できなかったと述べました。 Kasperskyはまた、Owowaが最初にどのように展開されたかは不明であると述べました。ただし、所有者が以前にExchangeサーバーの侵害に飛びついた可能性はありません2021。
見る: パスワード違反:ポップカルチャーとパスワードが混ざらない理由(無料のPDF)(TechRepublic)
KasperskyがOwowaから分析できたコードは、創造性を示しているだけでなく、アマチュアのタッチも示しています。 「経験の浅い開発者が示した慣行は、そのような戦略的ターゲティングに対応していないようです」とKaspersky氏は述べています。
ずさんなコードのそのような例の1つは、サーバーをクラッシュさせる可能性のあるHTTPモジュール(Owowaがその1つ)の危険な開発慣行に関する「Microsoftからの明示的な警告を無視する」という作成者の行為でした。したがって、感染したサーバーにとっては基本的に2倍の危険性があります。データが盗まれるか、すべてが崩壊します。
Owowaを検出して戦う方法
検出されないデータ盗難の潜在的な可能性が、Owowaに注意する十分な理由ではない場合は、その潜在的な可能性を検討してください。適切な予防策を講じるもう1つの理由として、ExchangeまたはIISサーバーをクラッシュさせる。
Kasperskyは、Owowaおよび同様の脅威から身を守るために、次の4つの推奨事項を示しています。
- 公開されたIISサーバー上のすべてのIISモジュールを定期的にチェックします(特にそのIISサーバーがExchangeを処理する場合)。
- 横方向の動きの検出とインターネットへのデータの漏えいに焦点を当てる。特に発信トラフィックに注意し、簡単にアクセスできる定期的なバックアップを作成してください。
- つかいます攻撃を早期に特定して阻止するための信頼できるエンドポイント検出および応答ソフトウェア。
- 信頼できるエンドポイントセキュリティを使用する悪意のあるアクションをロールバックできるエクスプロイト防止、動作検出、および修復エンジンを搭載したソフトウェア。
Owowa感染の検出に興味がある場合は、Kaspersky’s完全なレポートには、appcmd.exeまたはISS構成ツールを使用して、Owowaおよびその他の悪意のあるモジュールを探して特定する手順が含まれています。
Cybersecurity Insider Newsletter
最新のサイバーセキュリティニュース、ソリューション、およびベストに遅れないようにすることで、組織のITセキュリティ防御を強化します実践。火曜日と木曜日に配信
今日サインアップする
も参照してください
- サイバーセキュリティプロになる方法:チートシート(TechRepublic)
- NISTサイバーセキュリティフレームワーク:専門家向けのチートシート(無料PDF)(TechRepublic)
- モバイルVPNアプリとは何ですか、なぜそれらを使用する必要があるのですか(TechRepublic Premium)
- サイバーセキュリティとサイバー戦争:Mo re must-read Coverage(TechRepublic on Flipboard)
- 信頼できるエンドポイントセキュリティを使用する悪意のあるアクションをロールバックできるエクスプロイト防止、動作検出、および修復エンジンを搭載したソフトウェア。