前景目标攻击Web应用程序(OWA)说明了对手将在多大程度上建立持久控制组织的整个网络。
看到最近漏洞,攻击者通常使用偷来的凭证或恶意软件网络上立足,然后目标域控制器。一旦攻击者成功地妥协的域控制器,他们可以模仿任何用户和整个企业网络的自由移动。自从OWA服务器,它为企业提供了一个Web接口来访问前景和Microsoft Exchange,取决于域控制器进行验证,谁收益访问OWA服务器自动赢得域凭据奖。
以色列Cybereason中描述研究报告攻击者如何上传后门恶意软件公司的OWA服务器并成功偷走了11000用户名和密码超过几个月。大多数安全专家明白Active Directory包含敏感数据,但不是很多认为OWA可以是一个来源相同的敏感数据。这种攻击显示,OWA安全地保护不如Active Directory。
攻击者可以利用这一事实组织通常配置OWA服务器与“一套相对宽松的限制,”研究人员写道。
在一个典型的组织中,管理者的地方内部服务器和防火墙背后的关键业务应用程序和使用其他安全控制来防止外界访问。然而,组织配置OWA apple,可用的内部和外部,允许用户从任何地方访问他们的消息。双重性质使OWA理想攻击平台,因为它给攻击者完成后门功能。
“OWA是独一无二的:它是一个关键的内部基础设施也面临着互联网,使其内部之间的中间层,据称受保护的非军事区,和网络,“Yoav Orot,高级研究员Cybereason实验室,和Yonatan Striem-Amit,首席技术官兼联合创始人Cybereason,在报告中写道。
袭击者上传恶意软件具有相同名称的合法的微软动态链接库(DLL)文件到OWA服务器。即使恶意OWAAUTH。dll是无符号,本身不会引起任何警报,因为它从. net程序集加载缓存。缓存用于存储在本地编译本地二进制文件和文件通常是无符号和没有信誉。这种方式,攻击者能够让恶意软件在雷达下如果这只是另一个本地生成的文件。
“他们欧比旺练习一点绝地魔法,说服这名后卫认为:这些都不是你要找的文件,往里走,“Orot和Striem-Amit写道。
OWAAUTH负责对Active Directory用户身份验证。用户不会意识到他们的凭证被偷了,因为他们进入前景并不受到影响。恶意软件还安装了一个ISAPI过滤器到IIS服务器过滤HTTP请求和获得所有的凭证在明文传输。被转移到一个指挥控制中心的信息,给攻击者的凭证可以用来模拟任何用户,整个网络的横向移动,甚至编写和执行代码在服务器上。
“这宝库基本上给了黑客完全访问每一个身份,因此每一个资产的组织,”研究人员写道。
Cybereason没有名字突袭的目标公司,但将其描述为一个“公共服务的中型公司,总部在美国”Researchers believe it was a targeted campaign because the malware used very specific keywords. The report also did not explain how the attackers got the backdoored DLL file onto the company's network in the first place.
即便如此,攻击了攻击者将走多远域凭据,他们不会总是最明显的方法。关键资产需要监视任何更改系统配置,和所有新文件,特别是二进制文件,需要密切关注。攻击者也可以使用现有工具的攻击,使它变得更为重要,管理员能够识别网络上的反常行为。
OWA旨在让远程用户访问的前景,但其灵活自然也让攻击者更容易。组织必须高度警惕时,监测环境中的关键资产。有时,缓存文件不是良性的。
这个故事,“攻击者的目标OWA域凭据”最初发表的信息世界 。