安全動(dòng)態(tài)

微軟再出狀況:Exchange存在潛藏多年的后門(mén)

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-05-15    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf

近日,安全專家在微軟的Exchange中發(fā)現(xiàn)了一個(gè)非常隱蔽的后門(mén),該后門(mén)的存在,可導(dǎo)致攻擊者通過(guò)郵件感染服務(wù)器,完成修改或阻止以及撰寫(xiě)新郵件的操作。

LightNeuron-Turla-1.jpg

研究人員將這個(gè)后門(mén)稱為:LightNeuron。原理是通過(guò)使用隱寫(xiě)PDF和JPG附件的電子郵件,實(shí)現(xiàn)對(duì)目標(biāo)用戶的遠(yuǎn)程控制。目前已證實(shí)該后門(mén)被Turla網(wǎng)絡(luò)間諜小組使用過(guò)。

關(guān)于LightNeuron

LightNeuron是第一個(gè)使用微軟Exchange傳輸代理作為后門(mén)程序的惡意行為。研究人員表示,Exchange的功能允許使用者直接接觸郵件服務(wù)器所采用的傳輸代理,以達(dá)到處理或修改郵件的目的,郵件的傳輸代理又可以直接由微軟或第三方供應(yīng)商直接在體系內(nèi)部創(chuàng)建。并且在郵件服務(wù)器發(fā)送或接收電子郵件時(shí),經(jīng)常會(huì)出現(xiàn)傳輸代理進(jìn)行處理的情況,若在此時(shí)調(diào)用/修改傳輸代理,則可以直接實(shí)現(xiàn)修改電子郵件內(nèi)容。

這個(gè)設(shè)定的初衷是用于合法目的,但如我們所見(jiàn),它的弊端也已經(jīng)被不法分子發(fā)現(xiàn)了。除了傳輸代理(位于Program Files文件夾中的Exchange文件夾并在郵件服務(wù)器中進(jìn)行了相應(yīng)的配置)之外,該后門(mén)還會(huì)使用傳輸代理所需的DLL文件來(lái)達(dá)成惡意行為。

如前所述,后門(mén)的存在,可以攔截電子郵件,修改郵件正文、收件人、主題,創(chuàng)建新郵件,替換附件,以及從Exchange服務(wù)器重新創(chuàng)建和發(fā)送電子郵件以繞過(guò)垃圾郵件過(guò)濾器。并且還能創(chuàng)建電子郵件附件日志,對(duì)郵件進(jìn)行加密和存儲(chǔ),并解析JPG/PDF附件并執(zhí)行其中附帶的命令。

除此之外,LightNeuron還可以用來(lái)編寫(xiě)和執(zhí)行文件,刪除文件,執(zhí)行進(jìn)程,禁用自身進(jìn)程,執(zhí)行大量日志記錄(后門(mén)操作、調(diào)試、錯(cuò)誤內(nèi)容等)并在特定時(shí)間自動(dòng)泄漏特定文件。

LightNeuron-Turla-2.jpg

在對(duì)此事件的調(diào)查過(guò)程中,研究人員還發(fā)現(xiàn)LightNeuron與遠(yuǎn)程管理軟件,基于RPC的惡意軟件或面向Outlook Web Access的.NET Web shell等工具會(huì)同時(shí)出現(xiàn),并且通過(guò)利用這些軟件,攻擊者可以輕松通過(guò)發(fā)送到Exchange服務(wù)器上的電子郵件來(lái)取得本地計(jì)算機(jī)及局域網(wǎng)到控制權(quán)。

最后,根據(jù)惡意軟件樣本中揭秘到一些字符串來(lái)判斷,研究人員認(rèn)為該惡意軟件可能是Linux端的變體。

關(guān)于Turla

Turla(綽號(hào)Snake,又名Uroburos)被認(rèn)為是一個(gè)以俄語(yǔ)為主的黑客攻擊群體,其背后很有可能受?chē)?guó)家支持,至今已活躍了十多年。通常該組織以世界各地的政府、軍事、國(guó)防承包商以及區(qū)域政治組織和教育組織等為目標(biāo)進(jìn)行黑客活動(dòng)。

研究人員表示,LightNeuron的存在至少可以追溯到2014年,但由于其機(jī)制的特殊性導(dǎo)致最近才被安全人員發(fā)現(xiàn)。該后門(mén)程序很難被檢測(cè)到(因其沒(méi)有HTTPS(S)),并且通常它僅會(huì)針對(duì)關(guān)鍵目標(biāo)進(jìn)行部署。

ESET惡意軟件研究員Matthieu Faou表示,當(dāng)前已確認(rèn)兩個(gè)因?yàn)楹箝T(mén)被攻擊的目標(biāo):一個(gè)東歐國(guó)家的外交部和一個(gè)中東地區(qū)的外交組織。

刪除惡意軟件

ESET研究人員已經(jīng)放出了關(guān)于該后門(mén)的IoC,以便人們檢查自身是否存在問(wèn)題。同時(shí)研究人員警告稱不要擅自將該惡意文件直接刪除,因?yàn)闀?huì)破壞Microsoft Exchange程序。必須使用管理員賬號(hào)限禁用惡意傳輸代理,然后再刪除兩個(gè)相關(guān)惡意文件。

同時(shí)研究人員建議:如果不想重新安裝郵件服務(wù)器,那么請(qǐng)盡快修改感染服務(wù)器上的所有具有管理權(quán)限賬號(hào)的密碼,否則黑客可以再度發(fā)動(dòng)攻擊。

 
 

上一篇:2019年05月14日 聚銘安全速遞

下一篇:工信部部署網(wǎng)絡(luò)與信息安全責(zé)任考核工作