Owowa:將OWA 變成憑證竊取器和遠程訪問面板的附加組件
在尋找針對 Microsoft Exchange 服務器的潛在惡意植入程序時,研究人員發現了一個可疑的二進制文件,該二進制文件已在 2020 年末提交給多掃描器服務。通過分析代碼,研究人員確定了以前未知的二進制文件是一個 IIS 模塊,旨在竊取憑證并從 OWA 啟用遠程命令執行。研究人員將惡意模塊命名為“Owowa”,并確定了位于亞洲的幾臺受感染服務器。
Owowa 是一個 C# 開發的 .NET v4.0 程序集,旨在作為 IIS Web 服務器中的模塊加載,該服務器還公開 Exchange 的 Outlook Web Access (OWA)。以這種方式加載時,Owowa 將竊取任何用戶在 OWA 登錄頁面中輸入的憑證,并允許遠程操作員在底層服務器上運行命令。
該惡意模塊很可能是在 2020 年末至 2021 年 4 月之間編譯的。程序集默認的“LegalCopyright”字段顯示“2020”作為日期,并且研究人員在 2021 年 4 月的分析中檢測到了研究人員能找到的最新 Owowa 樣本。該程序集在其“文件”屬性中包含對調試數據庫(PDB)的引用,其公鑰標記設置為“b07504c8144c2a49”。
研究人員確定Owowa旨在作為IIS模塊啟動,因為唯一相關的代碼放在ExtenderControlDesigner類中,該類實現了特定于 IIS 的接口(IHttpModule)。Owowa 專門設計用于通過掛鉤 PreSendRequestContent 事件來檢查 HTTP 請求和響應。當 IIS 的 Web 應用程序即將向客戶端發送內容時,該事件會被觸發。但根據微軟的說法,這樣的事件永遠不應該在IHttpModule實例中使用,因為它可能會導致應用程序或服務器崩潰。
惡意 HTTP 模塊定義
研究人員確定 Owowa 專門針對 Exchange 服務器的 OWA 應用程序,因為它的代碼故意忽略來自 OWA 特定監視以 HealthMailbox 字符串開頭的帳戶名稱的請求。
該惡意模塊實際上旨在記錄在 OWA 身份驗證網頁上成功通過身份驗證的用戶的憑證。通過檢查 OWA 應用程序是否將身份驗證令牌發送回用戶來驗證成功的身份驗證。如果是這種情況,用戶名、密碼、用戶的 IP 地址和當前時間戳將存儲在 C:\Windows\Temp\af397ef28e484961ba48646a5d38cf54.db.ses 的文件中。數據使用 RSA 算法加密,硬編碼的公鑰存儲為 XML blob:
一個惡意的操作員可以通過在用戶名和密碼字段中輸入特定的命令與Owowa交互,在一個被攻擊的服務器的OWA身份驗證頁面。Owowa將通過IIS服務器響應這些命令,并將結果顯示給操作員,而不是預期的OWA登錄錯誤消息:
如果OWA的用戶名是jFuLIXpzRdateYHoVwMlfc, Owowa將返回加密的憑證日志,編碼在base64;
如果OWA用戶名是Fb8v91c6tHiKsWzrulCeqO,惡意模塊會刪除加密憑證日志的內容,并返回OK字符串(使用RSA加密);
如果 OWA 用戶名是 dEUM3jZXaDiob8BrqSy2PQO1,Owowa 會在受感染服務器上使用 PowerShell 執行在 OWA 密碼字段中輸入的命令。命令的結果被加密(如前所述)并返回給操作員。
Owowa 包含一個空的且未使用的附加程序集,存儲為壓縮資源,以及來自 Costura 命名空間的附加 AssemblyLoader 類。這些很可能是使用 Fody 字節碼編織工具及其來自 Owowa 開發人員構建鏈的 Costura 插件的結果。Fody 允許 .NET 開發人員通過編織或動態修改程序集字節碼在編譯時向程序集動態添加功能。特別是,Costura 旨在打包依賴項,將這些依賴項作為壓縮資源添加到程序集中。這些 Costura 副產品可能是開發人員構建鏈的殘留物,也可能是仍在開發中的混淆嘗試,因為 Owowa 的惡意代碼可能作為壓縮資源隱藏在 Costura 構建的程序集中。
IIS 模塊管理:加載、查找和使用 Owowa
Owowa 由以下 PowerShell 腳本加載(適用于由給定 IIS 服務器運行的所有兼容應用程序,包括 OWA):
該模塊首先在全局程序集緩存中注冊,然后可以由運行 OWA 應用程序的 IIS 服務器加載。這種設置技術讓人想起之前未知攻擊者使用的一種技術,RSA 在 2020 年 3 月將其描述為事件調查的一部分,該調查還涉及惡意 HTTP 模塊。
惡意 IIS 模塊,尤其是 Owowa,可以通過使用命令 appcmd.exe 或 IIS 配置工具來識別,該工具列出了給定 IIS 服務器實例上的所有加載的模塊:
IIS 配置管理器中的惡意模塊
Owowa的攻擊目標
研究人員在亞洲發現了一批目標,在馬來西亞、蒙古、印度尼西亞和菲律賓的服務器都受到了攻擊。除了一家國有運輸公司外,大部分都屬于政府機構。
Owowa 目標的地理位置
雖然研究人員沒有發現更多的受攻擊的服務器,但研究人員根據情報認為其他歐洲組織可能也成為了目標。
由于有關 Owowa 部署的數據不足,研究人員找不到 Owowa 與任何已知攻擊者之間的任何聯系。但是,Owowa 背后的開發人員未能刪除兩個已識別樣本中的 PDB 路徑,這兩個樣本均以 C:\Users\S3crt\source\repos\ClassLibrary2\ 開頭,暗示了特定的用戶名。
在搜索可能相關的資源時,研究人員確定了一個 Keybase 帳戶與上述 PDB 路徑共享相同的用戶名 - s3crt。值得注意的是,它共享了進攻性工具,例如 Cobalt Strike 和 Core Impact:
s3crt 密鑰庫帳戶
相同的用戶名也作為 RAID 論壇上的一個帳戶存在,表明對 Core Impact(一種流行的滲透測試軟件套件)的興趣:
s3crt RAID 論壇帳戶
最后,研究人員在 CSDN 上找到了一個博客簡介,同時顯示了 s3crt 和 z7ys 作為用戶名(博客標題是“z7ys'_s3crt_CSDN博客-XSS領域博主”)。該用戶對黑客技術表現出興趣,并分發了據稱包含泄露的 Cobalt Strike 源代碼的文件,這些文件的日期可追溯到 2018 年 11 月:
s3crt CSDN賬號
利用這些線索、PDB 路徑和相應的用戶名,研究人員發現了幾個可能由同一開發人員開發或打包的其他惡意二進制文件:
一個二進制加載器(MD5:D4BDFB90D9AA6D573F3FF3A755E2E630)包含一個與 Owowa 共享一個公共根的 PDB 路徑:
C:\Users\S3crt\source\repos\Shellcode_inject\Release\artifact32.pdb。
該二進制文件于 2021 年 9 月提交給多掃描器服務,但于 2020 年 8 月首次在野外被發現。它旨在解碼 (XOR) 并執行嵌入式 shellcode。該 shellcode 于 2020 年 8 月從 IP 150.109.111[.]208 下載惡意負載。在研究人員調查時,服務器并未提供此類負載,但根據研究人員的分析數據,這很大程度上與Cobalt Strike有關;
研究人員發現了另一個類似的二進制加載器:
(MD5:3C5654DDD7998AE39717F7E3D079BD93),
該加載器于2020 年 8 月首次被發現,據稱它也在 2020 年 8 月從 150.109.111[.]208 加載了類似 Cobalt Strike 的有效載荷;
最后,研究人員發現了一個額外的二進制加載器:
(MD5:3DB7101794CB166CA672814728F4E8D7),
它在 2021 年 3 月被檢測到連接到域 s3crt[.]biz,它也觸發了 Cobalt Strike 負載的執行。
加載器的 PDB 是:
C:\Users\Administrator\source\repos\Artifact\x64\Aritfact_big\Artifact.pdb在結構上與s3crt類似。
應該注意的是,s3crt 用戶名是英文單詞“secret”的簡單派生詞,很可能被多個人使用。因此,研究人員無法確定所識別的帳戶和文件是否確實與 Owowa 的開發人員相關聯或彼此相關。然而,相應的用戶名、PDB 路徑、項目名稱和惡意工具或策略中的興趣組合是值得注意的。
總結
本文描述的惡意模塊代表了攻擊者通過在 Exchange 服務器中持久存在來在目標網絡中獲得穩固立足點的有效選擇。對于惡意運營商來說,有幾個好處:
1.IIS 模塊在受感染的系統上保持持久性,即使是 Exchange 軟件更新;
2.通過直接向公開的 Web 服務發送看似無害的請求,很容易觸發惡意功能,在示例中,向 OWA 發送身份驗證請求,像這樣的惡意請求很難通過網絡監控來檢測;
3.IIS 模塊不是后門的常用格式,尤其是與典型的 Web 應用程序威脅(如 Web shell)相比時,因此在標準文件監控工作中很容易被遺漏;
4.攻擊者可以利用該模塊從合法訪問 Web 服務的用戶那里被動竊取憑證,這為發送網絡釣魚電子郵件提供了一種更隱蔽的替代方法。
5.不幸的是,研究人員無法檢索到足夠的數據來將發現的惡意模塊與任何感染鏈或感染后活動相關聯。今年早些時候,ProxyLogon 漏洞證明了 Exchange 服務器攻擊的影響,以及攻擊者能夠多快趕上潮流以利用關鍵漏洞并實現他們的目標。惡意運營商可能利用這些服務器漏洞來最初部署 Owowa。
在 Owowa 的開發中表現出創造力的同時,創建者忽略了微軟關于 HTTP 模塊的幾種風險開發實踐的明確警告,這可能導致服務器崩潰。此外,有關開發環境(PDB 路徑、Fody 副產品)的敏感信息仍保留在公開可用的樣本中。其他樣本或在線資料可能與此類信息的關聯性較弱。
Owowa 背后的運營商表現出對亞洲,特別是東南亞的政府組織的興趣。
參考及來源:
https://securelist.com/owowa-credential-stealer-and-remote-access/105219/
