1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Обнаружена атака, использующая Outlook Web Application

Тема в разделе "Новости информационной безопасности", создана пользователем лис.хвост, 7 окт 2015.

  1. лис.хвост

    лис.хвост VIP Разработчик

    Сообщения:
    661
    Симпатии:
    1.031
    Специалисты компании Cybereason опубликовали отчет об интересном случае. Компания-клиент Cybereason, чье название не раскрывается, столкнулась с хитроумным взломом. Атакующие проникли в сеть фирмы через почтовый web-сервер Microsoft Outlook Web App и оставались незамеченными в течение нескольких месяцев.

    Компания, насчитывающая более 19 000 сотрудников, обратилась за помощью к специалистам Cybereason, после обнаружения в своей сети ряда аномалий. Эксперты взялись за расследование, инициировали проверку сети и уже через несколько часов обнаружили подозрительный DLL-файл, размещенный на почтовом сервере Outlook Web Application (OWA). Хотя имя файла OWAAUTH.dll совпадало с именем настоящего DLL, который и должен находиться в системе, эта версия, в отличие от оригинала, не имела подписи и лежала не в той директории.

    Выяснилось, что OWAAUTH.dll содержит бекдор. Вредоносный DLL работал на OWA-сервере, а значит, имел доступ к HTTPS-запросам, притом уже после их расшифровки. В результате атакующие сумели похитить буквально все пароли и логины людей, обращавшихся к данному серверу. В зашифрованном файле log.txt, хранившемся на сервере в корневой директории диска C:\, эксперты обнаружили логины и пароли 11 000 сотрудников. Очевидно, log.txt использовался атакующими для хранения данных.

    Чтобы вредоносный DLL не исчезал при каждой перезагрузке сервера, хакеры также установили ISAPI-фильтр на IIS-сервер, который не только фильтровал HTTP-запросы, но и загружал OWAAUTH.dll обратно. Малварь позволяла хакерами писать и исполнять команды на SQL-серверах, и исполнять произвольный код на самом OWA-сервере.

    «В данном случае конфигурация OWA-сервера позволяла получить доступ к нему из интернета. Это позволило хакерам взять под пристальный контроль всю организацию, при этом оставаясь незамеченными на протяжении нескольких месяцев», — рассказывают специалисты Cybereason в блоге.

    Эксперты Cybereason не уточняют, является ли данная атака «штучной работой», направленной против конкретной компании, или аналогичная техника может применяться (возможно, уже применяется) и в других случаях, связанных с корпоративным шпионажем.

     
    Кирилл, orderman, Alex1983 и 2 другим нравится это.
  2. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.776
    Симпатии:
    14.809
    Атакующие проникли таки не через OWA сервер, в начале нужно было установить вредоносное ПО. Так, что более точным выражением будет использовали проникновение "на полную".
     
Загрузка...
Похожие темы - Обнаружена атака использующая
  1. Severnyj
    Ответов:
    0
    Просмотров:
    607
  2. Severnyj
    Ответов:
    0
    Просмотров:
    1.013
  3. Dragokas
    Ответов:
    0
    Просмотров:
    1.167
  4. лис.хвост
    Ответов:
    0
    Просмотров:
    824
  5. Severnyj
    Ответов:
    1
    Просмотров:
    786
  6. akok
    Ответов:
    0
    Просмотров:
    1.729

Поделиться этой страницей