Показано с 1 по 1 из 1.

Обнаружена атака, использующая Outlook Web Application

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,781
    Вес репутации
    140

    Обнаружена атака, использующая Outlook Web Application



    Специалисты компании Cybereason опубликовали отчет об интересном случае. Компания-клиент Cybereason, чье название не раскрывается, столкнулась с хитроумным взломом. Атакующие проникли в сеть фирмы через почтовый web-сервер Microsoft Outlook Web App и оставались незамеченными в течение нескольких месяцев.

    Компания, насчитывающая более 19 000 сотрудников, обратилась за помощью к специалистам Cybereason, после обнаружения в своей сети ряда аномалий. Эксперты взялись за расследование, инициировали проверку сети и уже через несколько часов обнаружили подозрительный DLL-файл, размещенный на почтовом сервере Outlook Web Application (OWA). Хотя имя файла OWAAUTH.dll совпадало с именем настоящего DLL, который и должен находиться в системе, эта версия, в отличие от оригинала, не имела подписи и лежала не в той директории, передает xakep.ru.

    Выяснилось, что OWAAUTH.dll содержит бекдор. Вредоносный DLL работал на OWA-сервере, а значит, имел доступ к HTTPS-запросам, притом уже после их расшифровки. В результате атакующие сумели похитить буквально все пароли и логины людей, обращавшихся к данному серверу. В зашифрованном файле log.txt, хранившемся на сервере в корневой директории диска C:\, эксперты обнаружили логины и пароли 11 000 сотрудников. Очевидно, log.txt использовался атакующими для хранения данных.

    Чтобы вредоносный DLL не исчезал при каждой перезагрузке сервера, хакеры также установили ISAPI-фильтр на IIS-сервер, который не только фильтровал HTTP-запросы, но и загружал OWAAUTH.dll обратно. Малварь позволяла хакерами писать и исполнять команды на SQL-серверах, и исполнять произвольный код на самом OWA-сервере.

    «В данном случае конфигурация OWA-сервера позволяла получить доступ к нему из интернета. Это позволило хакерам взять под пристальный контроль всю организацию, при этом оставаясь незамеченными на протяжении нескольких месяцев», — рассказывают специалисты Cybereason в блоге.

    Эксперты Cybereason не уточняют, является ли данная атака «штучной работой», направленной против конкретной компании, или аналогичная техника может применяться (возможно, уже применяется) и в других случаях, связанных с корпоративным шпионажем.

    http://www.anti-malware.ru/news/2015-10-07/16993

  2. Реклама
     

Похожие темы

  1. Обнаружена атака DNS cache poisoning
    От Oseee в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 14.02.2012, 19:03
  2. Обнаружена атака ARP cache poisoning
    От Lirick в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 03.05.2010, 15:25
  3. Зафиксирована массированная атака на Microsoft Outlook Web Access
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 16.10.2009, 17:04
  4. Обнаружена атака DNS cache poisoning
    От Assol в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 21.08.2009, 03:19
  5. Обнаружена атака ARP cache poisoning 0
    От Vincent Vega в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 13.12.2008, 18:09

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00454 seconds with 18 queries