اخبار امنیت

خانه آگاهی‌رسانی امنیتی اخبار امنیت Owowa سارق اطلاعات احراز هویت کاربران Microsoft Exchange
۲۷ آذر ۱۴۰۰
تعداد بازدید: 153

Owowa سارق اطلاعات Microsoft Exchange

Owowa ماژولی است که در ظاهر برای IIS طراحی شده است. اما محققان کسپرسکی به تازگی پرده از هدف اصلی این ماژول مخرب برداشته‌اند. ماموریت Owowa سرقت اطلاعات احراز هویت کاربران Microsoft Exchange و اجرای از راه دور دستورات مهاجمان است. این ماژول در طی عملیاتش یک backdoor بر روی سرور می‌سازد که به مهاجمان اجازه حضور مستمر را می‌دهد.

البته این اولین باری نیست که مهاجمان، IIS یا همان Internet Information Services را هدف قرار داده‌اند. زیرا زمانی که سرویس‌های تحت وب مطرح می‌شوند، می‌توان IIS را به عنوان ستون فقرات Microsoft Exchange در نظر گرفت. در حقیقت آن‌ها از طریق IIS می‌توانند سرورهای Microsoft Exchang را هدف قرار دهند. همین موضوع هم انگیزه زیادی به آن‌ها می‌دهد تا هر چند وقت یک بار کمپین‌هایی را بر ضد IIS راه اندازی کنند.  به گفته شرکت ESET تا کنون اهداف مخرب ۱۴ خانواده از ماژول‌هایی که به ظاهر برای IIS توسعه داده شده‌اند توسط محققان کشف شده است. حالا در دنیای امنیت IIS به عنوان attack surface شناخته می‌شود که گاهی توسط مهاجمان دولتی و در حملات پیشرفته و گاهی توسط مهاجمانی با اهداف شخصی مورد حمله قرار می‌گیرد.

Owowa steal Exchange credentials

Owowa چیست؟

Owowa ماژولی است که برای سرورهای وب IIS بر روی NET. نسخه ۴ و با استفاده از زبان C# توسعه داده شده است. اما تنها این ظاهر قضیه است هدف اصلی این ماژول مخرب سرقت اطلاعات احراز هویت کاربرانی است که از طریق صفحه وب OWA لاگین می‌کنند. این ماژول بعد از سرقت اطلاعات احراز هویت کاربران دستورات دلخواه مهاجمان را از راه دور دریافت کرده و در نام کاربری و گذرواژه‌ها می‌گنجاند. پس از این مرحله مهاجمان از طریق اجرای این دستورات به اهدافشان دست می‌یابند و Owowa به عنوان یک backdoor برایشان عمل می‌کند. در نتیجه آن‌ها می‌توانند حضور مستمری بر روی سرور داشته باشند.

چرا Owowa؟

بیشتر حملات بر ضد سرورهای Microsoft Exchange از طریق WebShell انجام می‌شود. در نتیجه راهکارهای امنیتی عمده تمرکزشان بر روی شناسایی انواع تهدیدات رایج وب از جمله WebShell است. استفاده از ماژول IIS به عنوان backdoor به اندازه سایر تهدیدات تا به حال رایج نبوده است. در این صورت مهاجمان با این راهکار شانس بیشتری برای مخفی ماندن از دید راهکارهای امنیتی را دارند. همچنین زمانی که سرور به روزرسانی می‌شود این backdoor باقی مانده و به کارش ادامه می‌دهد. پس استفاده از ماژول‌های IIS در حملات امنیتی منافع زیادی برای مهاجمان به همراه خواهد داشت.

Owowa چگونه عمل می‌کند؟

این ماژول مخرب طوری نوشته شده است که مستقیما اپلیکیشن OWA سرورهای Microsoft Exchange را هدف قرار دهد. Owowa اطلاعات احراز هویت کاربرانی که به صورت موفقیت آمیزی در صفحه وب OWA احراز هویت شده‌اند را می‌دزد. بسیاری از ادمین‌ها از OWA برای بررسی حساب‌های کاربری استفاده می‌کنند. آن‌ها این روش را به ساخت یک پروفایل جدید در outlook ترجیح می‌دهند. همین‌طور برخی از اپلیکیشن‌ها نیز از OWA در قسمت احراز هویت استفاده می‌کنند. مواردی که ذکر کردیم به خوبی نشان می‌دهد که مهاجمان بر روی چه بخش حساسی متمرکز شده‌اند. Owowa نام کاربری، گذرواژه، آدرس IP و time stamp جاری را ذخیره می‌کند. سپس این داده‌های مسروقه را encrypt می‌کند. بعد از آن با گنجاندن دستورات در اطلاعات احراز هویت منجر به اجرای دستورات دلخواه مهاجمان می‌شود. دستوراتی که می‌توانند برای جمع آوری داده‌های مهم  تا اجرای WebShell بر روی سرور کاربرد داشته باشند.

اهداف این حملات

طبق گزارش پژوهشگران کسپرسکی مراکز دولتی در برخی کشورهای آسیا شرقی مورد هدف حملات Owowa بوده‌اند. یکی از این مراکز مرتبط با سیستم حمل و نقل عمومی بوده است. همچنین گزارشاتی مبنی بر فعالیت مهاجمین از طریق این ماژول مخرب در اروپا منتشر شده است.

راهکار چیست؟

پاک کردن ماژول Owowa بهترین راهکار است. در گام اول باید بدانید آیا این ماژول بر روی سرورتان نصب شده است یا نه؟! برای اینکار می‌توانید دستور appcmd.exe را اجرا کنید. همچنین از طریق IIS Config Tool می‌توانید این موضوع را بررسی کنید. فایل‌های پیکربندی IIS عموما به صورت محلی روی درایو و در فایل‌های متنی ذخیره می‌شود. به صورت کلی پاک کردن این ماژول مخرب از IIS می‌تواند بهترین راهکار موجود باشد.

آرمان داده پویان ارائه دهنده انواع تست نفو وب و وب اپلیکیشن