恶意程序Owowa伪装成微软IIS模块,窃取凭证远程执行命令

使用恶意IIS服务器模块窃取Microsoft Exchange凭据的黑客

最新的安全研究发现,黑客正在微软的Exchange Outlook Web Access 服务器上部署一种以前从未被发现的二进制恶意程序,这是一个名为 Owowa 的微软IIS服务器模块,其目的是窃取凭据并启用远程命令执行。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,Owowa 是一个 C# 开发的 .NET v4.0 程序集,旨在作为模块加载到 IIS Web 服务器中,该服务器还开放了 Exchange 的 Outlook Web Access (OWA),以这种方式加载时,Owowa 将窃取任何用户在 OWA 登录页面中输入的凭据,并允许远程黑客在底层服务器上运行命令。

将恶意 IIS 模块设计为后门的想法并不新鲜。2021 年 8 月,安全研究机构对 IIS 威胁形势进行进行分析时发现多达 14 个恶意软件家族被开发为原生 IIS 模块,试图拦截 HTTP 流量并远程控制受感染的计算机。

作为受感染系统上的持久组件,Owawa 旨在捕获在 OWA 身份验证网页上成功通过身份验证的用户的凭据。然后,通过在受感染服务器的 OWA 身份验证页面的用户名和密码字段中输入特制的命令,向暴露的 Web 服务发送看似无害的请求,从而实现漏洞利用。

具体来说,如果 OWA 用户名是 jFuLIXpzRdateYHoVwMlfc ,Owawa 会用加密的凭据进行响应。另一方面,如果用户名是 dEUM3jZXaDiob8BrqSy2PQO1 ,则会执行在 OWA 密码字段中键入的 PowerShell 命令,并将其结果发送回攻击者。

使用恶意IIS服务器模块窃取Microsoft Exchange凭据的黑客

尽管尚未发现 Owowa 运营方与其他公开记录的黑客组织之间的联系,但在已识别样本的源代码中发现的用户名 S3crt 已经生成了额外的恶意软件可执行文件,这些可执行文件很可能是同一个开发者。其中最主要的是一些二进制文件,旨在执行shellcode、加载从远程服务器检索到的下一阶段恶意软件,并触发 Cobalt Strike 负载的执行。

安全研究人员表示,IIS 模块不是后门的常用格式,尤其是与 Web shell 等典型的 Web 应用程序威胁相比时,因此在标准文件监控工作中很容易被遗漏。

恶意程序Owowa伪装成微软IIS模块,窃取凭证远程执行命令

极牛网精选文章《恶意程序Owowa伪装成微软IIS模块,窃取凭证远程执行命令》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/17476.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2021年12月15日 下午2:31
下一篇 2021年12月17日 上午11:21

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部