Tehdit aktörleri, kimlik bilgilerini çalmak ve sunucuda uzaktan komutları yürütmek için Microsoft Exchange Outlook Web Access sunucularına ‘Owowa’ adlı kötü niyetli bir IIS web sunucusu modülü kuruyor.
Owowa’nın geliştirilmesi, muhtemelen derleme verilerine dayanarak ve VirtusTotal kötü amaçlı yazılım tarama hizmetine yüklendiğinde 2020’nin sonlarında başladı.
Kaspersky’nin telemetri verilerine dayanarak, dolaşımdaki en son örnek Nisan 2021’e aittir ve Malezya, Moğolistan, Endonezya ve Filipinler’deki sunucuları hedef almaktadır.
Bu sistemler devlet kurumlarına, toplu taşıma şirketlerine ve diğer önemli kuruluşlara aittir.
Kaspersky, ‘Owowa’ hedeflerinin Güneydoğu Asya ile sınırlı olmadığını ve Avrupa’da da enfeksiyon belirtileri gördüklerini vurguluyor.
Sıra dışı bir arka kapı
Microsoft Exchange sunucuları, genellikle, tehdit aktörlerinin bir sunucuda uzaktan komut yürütmesine izin veren ve genellikle savunucuların odak noktası olan web kabukları ile hedeflenir.
Bu nedenle, bir IIS modülünü arka kapı olarak kullanmak, gizli kalmanın mükemmel bir yoludur. Oyuncular, standart ağ izleme kurallarından da kaçınarak OWA’ya görünüşte zararsız kimlik doğrulama istekleri gönderebilirler.
“IIS modülleri, özellikle web kabukları gibi tipik web uygulaması tehditleriyle karşılaştırıldığında, arka kapılar için yaygın bir format değildir ve bu nedenle standart dosya izleme çabaları sırasında kolayca gözden kaçabilir.” açıklar bildiri Kaspersky tarafından.
Ek olarak implant, Exchange yazılımı güncellendikten sonra bile devam eder, bu nedenle enfeksiyonun yalnızca bir kez gerçekleşmesi gerekir.
Kaspersky, oyuncunun sunucuyu tehlikeye atmak için ProxyLogon kusurlarına güvenebileceğini ve bunun dokuz ay önce yama uygulandıktan sonra bile sorun olmaya devam edebileceğini söylüyor.
Ancak aktörler, Owowa’nın geliştirilmesinde mükemmel bir iş çıkarmadı, kötü amaçlı yazılım yürütülebilir dosyasında PDB yollarını gizleyemedi ve bazı durumlarda sunucu çökmelerine neden oldu.
Güçlü yetenekler
Owowa, özellikle Exchange sunucularının OWA uygulamalarını hedefler ve OWA oturum açma web sayfasında başarılı bir şekilde kimlik doğrulaması yapan kullanıcıların kimlik bilgilerini günlüğe kaydetmek için tasarlanmıştır.
Oturum açma başarısı, bir kimlik doğrulama belirteci oluşturmak için OWA uygulamasının izlenmesiyle otomatik olarak doğrulanır.
Böyle bir durumda, Owowa kullanıcı adını, parolayı, kullanıcı IP adresini ve geçerli zaman damgasını saklar ve RSA kullanarak verileri şifreler.
Oyuncu daha sonra kötü amaçlı modüle manuel olarak bir komut göndererek çalınan verileri toplayabilir.
Uzak komutlar, güvenliği ihlal edilmiş uç noktada PowerShell’i yürütmek için de kullanılabilir ve bir dizi saldırı olasılığına yol açar.
Kaspersky, “Siber suçluların, kullanıcı adı ve parola alanlarına özel hazırlanmış komutları girmek için yalnızca güvenliği ihlal edilmiş bir sunucunun OWA oturum açma sayfasına erişmesi gerekir” diye açıklıyor.
“Bu, saldırganların bir Exchange sunucusunda kalıcı olarak hedeflenen ağlarda güçlü bir yer edinmeleri için etkili bir seçenektir.”
IIS modülünü tespit edin ve kaldırın
Yöneticiler, bir IIS sunucusunda yüklü tüm modüllerin listesini almak için ‘appcmd.exe’ komutunu veya IIS yapılandırma aracını kullanabilir.
Araştırmacılar tarafından görülen durumlarda, kötü amaçlı modül, aşağıda gösterildiği gibi “ExtenderControlDesigner” adını kullanır.
Araştırmacılar, araştırma sırasında RaidForums hack forumunda bir hesaba yönlendirilmiş olsalar da, ilişkilendirme zayıf kalıyor ve genellikle bilinen aktörlerle hiçbir ilişki yok.
Ayrıca, modülün geliştirilmesindeki dikkatsizlik, devlet kurumları da dahil olmak üzere, hedefleme kapsamına uymayan karmaşık olmayan bir aktörün işaretidir.
Özetle, bu, IIS modüllerinizi düzenli olarak kontrol etmenin, ağınızda yanal hareket belirtileri aramanın ve uç nokta güvenlik kalkanlarınızı açık tutmanın öneminin bir başka hatırlatıcısıdır.