微軟交易所:Outlook 遭 APTs 圍攻
一份新的威脅報告顯示,APT在利用Microsoft服務(例如Exchange和OWA)時正在改變其策略,以避免被檢測到。
新的,復雜的對手正在轉變其策略,以利用企業友好型平臺(最著名的是Microsoft Exchange,Outlook Web Access(OWA)和Web上的Outlook)來竊取業務憑據和其他敏感數據。
微軟的Exchange郵件服務器和日歷服務器以及Outlook個人信息管理器Web應用程序都提供身份驗證服務以及與其他平臺的集成,研究人員說,這是攻擊者利用它們發起攻擊的主要工具。
埃森哲周一發布的《 2020年網絡威脅景觀》報告闡明了參與者如何利用Exchange和OWA –并發展其策略以開發針對這些服務的新惡意軟件系列,或使用新的逃避檢測技術。
埃森哲(Accenture)研究人員周一表示:“面向網絡、數據密集、通常對外通信的系統和服務,可以讓對手更容易地將流量隱藏在背景噪音中,而認證服務則可能為網絡罪犯提供獲取證書的機會。”
APTs Flock Exchange, OWA
研究人員稱“ BELUGASTURGEON”(又名Turla或Whitebear為攻擊者,他們的目標是Exchange和OWA 。研究人員說,該組織在俄羅斯開展業務,已經活躍了10多年,并且與針對政府機構,外交政策研究公司和全球智囊團的眾多網絡攻擊相關。
研究人員說,該組織的目標是這些Microsoft服務,并將它們用作搶灘,隱藏流量,中繼命令,破壞電子郵件,泄露數據并收集憑據以用于將來的間諜攻擊。例如,他們正在操縱遍歷Exchange的合法流量,以中繼命令或泄露敏感數據。
研究人員說:“支持Exchange和相關服務的主機經常將大量數據中繼到外部位置,這是惡意行為者將其流量隱藏在這種背景噪聲下的主要機會。”
研究人員說,另一個被研究人員稱為SOURFACE(又名APT39或Chafer)的小組似乎已經開發出了類似的技術來隱藏惡意流量,操縱本地防火墻并使用本機命令,工具和功能通過非標準端口代理流量。研究人員表示,該組織至少自2014年以來就一直活躍,并以其對澳大利亞,歐洲,以色列,沙特阿拉伯,美國和其他地區的石油,天然氣,通訊,運輸和其他行業的網絡攻擊而聞名。
此外,威脅組織還創建了專門針對Exchange和OWA的新惡意軟件。研究人員表示,他們在2019年發現了幾處惡意文件,他們“有中等信心”地評估它們與一個名為BLACKSTURGEON的組織有關,該組織用于瞄準政府和公共部門組織。
其中包括一個文件,該文件似乎是該組織的“RULER”工具的自定義版本的版本,該文件旨在濫用Microsoft Exchange服務。研究人員說,此文件利用了CVE-2017-11774 Outlook漏洞,該漏洞是一種安全功能旁路漏洞,會影響Microsoft Outlook,并使攻擊者能夠執行任意命令。
其他服務受到攻擊
網絡犯罪分子還針對支持Exchange和OWA的服務。例如,客戶端訪問服務器(CAS)處理與Exchange Server 2010和Exchange 2013的所有客戶端連接,通常在Web登錄門戶中運行包括OWA在內的服務。研究人員說,能夠訪問CAS的攻擊者可能能夠部署竊取用戶登錄憑據的功能。
他們說:“據報道,一個高級的持久威脅參與者已經部署了Web Shell,以便在他們登錄時從OWA用戶那里獲取憑據。”
支持OWA的Windows Internet信息服務(IIS)平臺是另一個不斷增長的目標。IIS是Microsoft創建的用于Windows家族的Web服務器軟件。研究人員說,他們已經觀察到SOURFACE,例如,將自定義的Active Server Page Extended(ASPX)Web Shell部署到受害人的OWA環境中的IIS目錄中。這些Web Shell將包含離散的文件名,以類似于受害者系統上的合法文件(例如,“ login2.aspx”而不是“ login.aspx”)。而且,為了逃避靜態檢測,它們通常包含有限的功能,通常僅文件上傳和下載或命令執行。
隨著入侵的進行,SOURFACE運營商改變了他們的方法。攻擊者沒有將其他Web外殼程序代碼附加到IIS中的合法文件上,而是放置了其他文件來完成惡意功能,”研究人員說。“很可能他們這樣做是為了減少網絡防御者的識別并確保持久訪問,即使識別和刪除了其他Web Shell文件也是如此。”
研究人員說,向前邁進,攻擊者將繼續以自然挑戰網絡防御者的方式,創新其攻擊Microsoft服務(如Exchange)的技術。Check Point研究人員稱,除惡意軟件外,在模擬黑客方面,微軟是首屈一指的。在今年第三季度,全球所有品牌網絡釣魚攻擊中,微軟的產品和服務占了近五分之一。
埃森哲表示:“在大多數情況下,與國家結盟的運營商可能需要繼續強調隱身性和持久性,以實現其情報收集目標。” “這種功能和逃避檢測方法強調了識別和跟蹤優先對手的重要性,然后針對優先對手采取的特定行為進行威脅搜尋。”
