高防ip_服务器安全狗防护验证页面_超稳定-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 高防ip_服务器安全狗防护验证页面_超稳定

高防ip_服务器安全狗防护验证页面_超稳定

小墨安全管家 2021-05-01 22:11 CC防护 89 ℃
DDoS防御
我们基本收到了特别多对于我们发觉利用OWA对组织举行后门攻击的咨询题。我们想借此机遇向他们公开说话。OWA有后门吗?不,我们懂OWA没有后门。在我们观看到的事情下,OWA是被后门跟踪的。这意味着另一具程序被加载到OWA服务器中并引入了后门功能。我们研究的主题是这种后门机制,以及对为啥黑客挑选后门OWA而不是其他资产的更深入的理解。这是OWA的漏洞吗?正如我们在研究中所讲的,同时在微软的博客中反复提到的那么,OWA没有具体的漏洞。哪个版本的exchange被感染?恶意软件已加载到w3中wp.exe文件,版本7.5.7601.17514,DDoS防御,在Windows 2008 R2上运行的IIS工作进程。交换版本是14.03。我们应该注意到,那个恶意软件并不是针对特定版本的exchange,CC防御,而是一种将过滤器加载到IIS前端的通用机制。有味的是OwaAuth.dll它本身存储在c:\windows中\微软.net\framework64\v2.0.50727\暂时asp.net文件\owa\c60e4757\114626a\assembly\dl3\b4b06190\0090faec_b903ce01\owaauth.dll.这么黑客是怎么将他们的代码加载到OWA中的呢?那个攻击是一具典型的APT的例子,黑客实际上成功地访咨询了其他几个端点。该组织没有保存实际感染日期的数据,但大多数最初的违规行为都使用有针对性的网络钓鱼电子邮件。最后来,利用横向挪移技术(黑客利用对一台计算机的操纵来访咨询同一网络中的另一台计算机的能力),他们可以危害OWA治理员的机器。黑客们利用臭名昭著的恶意软件工具箱PlugX来操纵不同用户的机器。一旦黑客获得了OWA治理员的用户名和密码,他们就能够使用远程桌面登录到OWA服务器。此刻,黑客能够简单地将他们的新恶意软件复制到适当的文件夹并注册。你能解释一下恶意软件是怎么在服务器上持续运行的吗?黑客将恶意软件注册为ISAPI过滤器。ISAPI过滤器是OWA的web服务器组件作为服务器正常操作的一部分加载的文件。这些过滤器用于引入新的功能,同时(有些讽刺)经常添加额外的安全措施。任何ISAPI过滤器都能够读取和修改web服务器上发生的任何web源请求,所以黑客能够读取任何登录尝试。那为啥是OWA?用于在OWA上安装后门的机制并不是OWA特有的,在大多数APT中都会浮上这种事情的变体,防DDoS,这么为啥黑客挑选后门OWA?从黑客的角度来看,通过数周的困难工作,他们基本成功地将最初的漏洞升级为对OWA治理员帐户的妥协。可是,尽管这能够让他们冒充任何登录OWA的用户,并阅读这些用户的每封电子邮件,但这并不是攻击者的最后来目标。为了达到他们的最后来目标,他们需要牺牲更多的用户和机器。关于黑客来讲,进入任何资产(不管是数据库依旧其他服务器)的最佳想法是使用高权限用户的合法凭证从前门进入。这算是他们攻击OWA的缘由。在OWA服务器上使用一具恶意软件,他们设法获得了环境中所实用户的用户名和密码。从这一点开始,到任何其他服务器的想法都要容易得多。但挑选OWA还有其他缘由。OWA是世界通行的。黑客面临的一具挑战是怎么与组织中的恶意软件举行通信。在大多数事情下,出于防火墙的思量,恶意软件必须启动到黑客的命令和操纵服务器的出站通信,这增加了黑客被抓获的机遇。OWA是一具面向Internet的服务器,这一事实也使它成为攻击者的理想挑选。它允许互联网上的任何人经过SSL加密的通道与它举行通信。这使得黑客能够与他们的恶意软件举行通信,几乎没有被抓到的风险。在公布我们的研究之后,我们接到通知,戴尔发表了一篇对于类似攻击的有味研究报告。突击是如何被发觉的?我们的软件在客户环境中对我们的解决方案举行为期两周的试用部署的第一天就发觉了该恶意软件。该公司使用的恶意软件爱护解决方案未检测到该攻击,因为它依靠于签名。我们可以经过使用行为检测想法找到恶意软件:观看OWA服务器上运行的代码类型,并分析其行为。当我们观看到恶意软件时,它基本在系统中运行了几个月。服务器是怎么暴露在互联网上的?边缘防火墙规则是否配置为仅允许从Internet到OWA接口/exchange服务器的https(443)流量,或者其他协议是否也允许从Internet启动?惟独443端口能够访咨询Internet。你有没有分享过国际奥委会的,哈希,C2等等。?不幸的是,我们无法共享恶意软件的哈希值,DDoS防御,因为它包含特定于客户的指标。这使我们相信,恶意软件的作者正在为每个目标环境重新编译恶意软件,这使得基于特定哈希值构建IoC变得毫无用处。总的来讲,这也凸显了IOC的咨询题。ioc,无论是文件哈希、名称和路径、签名、注册表项依旧IP地址,基本上出了名的容易操作的。当黑客重新编译或更改一具字节时,散列值会发生变化,当黑客重命名文件时,路径和名称就能够特别容易地更改。真正阻挠这些攻击的唯一想法是针对它们的行为模式。这算是我们一开始就抓住这次突击的缘由。有一些公司能够采取一些步骤来快速查看他们是否有这种恶意软件。这些指标并不是一具故障安全机制,但确信会有所关心。使用诸如Microsoft的SysInternals ListDlls之类的工具来查看IIS的工作过程(w3wp.exe文件)进程正在加载任何无符号的二进制文件(那个地点是powershell中的示例)。恶意软件将被盗密码存储在一具名为C:\日志.txt. 当它被命名为"txt"时,实际内容是加密的二进制有效负载。加密使用DES在CBC模式下,密钥和IV为12345678。建议采取哪些安全措施?至少,公司应该确保在其环境中登录需要多因素身份验证。公司应该像对待他们的活动名目服务器一样对待他们的OWA服务器。应该有一些治理员使用专用的治理帐户,而不是他们的日常帐户来治理服务器。公司应该慎重使用他们的OWA服务器而不需要VPN(虽然这通常是OWA的最大优势)。

高防ip_服务器安全狗防护验证页面_超稳定


DDoS防御

当前位置:主页 > CC防护 > 高防ip_服务器安全狗防护验证页面_超稳定

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119