Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Bilgisayar korsanları, IIS modülünü kullanarak Microsoft Exchange kimlik bilgilerini çalıyor

Bilgisayar korsanları, IIS modülünü kullanarak Microsoft Exchange kimlik bilgilerini çalıyor

Tehdit aktörleri, kimlik bilgilerini çalmak ve sunucuda uzaktan komutları yürütmek için Microsoft Exchange Outlook Web Access sunucularına ‘Owowa’ adlı kötü niyetli bir IIS web sunucusu modülü kuruyor.

Owowa’nın geliştirilmesi, muhtemelen derleme verilerine dayanarak ve VirtusTotal kötü amaçlı yazılım tarama hizmetine yüklendiğinde 2020’nin sonlarında başladı.

Kaspersky’nin telemetri verilerine dayanarak, dolaşımdaki en son örnek Nisan 2021’e aittir ve Malezya, Moğolistan, Endonezya ve Filipinler’deki sunucuları hedef almaktadır.

Bu sistemler devlet kurumlarına, toplu taşıma şirketlerine ve diğer önemli kuruluşlara aittir.

Kaspersky, ‘Owowa’ hedeflerinin Güneydoğu Asya ile sınırlı olmadığını ve Avrupa’da da enfeksiyon belirtileri gördüklerini vurguluyor.

Owowa enfeksiyon haritası
Owowa enfeksiyon haritası
Kaynak: Kaspersky

Sıra dışı bir arka kapı

Microsoft Exchange sunucuları, genellikle, tehdit aktörlerinin bir sunucuda uzaktan komut yürütmesine izin veren ve genellikle savunucuların odak noktası olan web kabukları ile hedeflenir.

Bu nedenle, bir IIS modülünü arka kapı olarak kullanmak, gizli kalmanın mükemmel bir yoludur. Oyuncular, standart ağ izleme kurallarından da kaçınarak OWA’ya görünüşte zararsız kimlik doğrulama istekleri gönderebilirler.

“IIS modülleri, özellikle web kabukları gibi tipik web uygulaması tehditleriyle karşılaştırıldığında, arka kapılar için yaygın bir format değildir ve bu nedenle standart dosya izleme çabaları sırasında kolayca gözden kaçabilir.” açıklar bildiri Kaspersky tarafından.

Ek olarak implant, Exchange yazılımı güncellendikten sonra bile devam eder, bu nedenle enfeksiyonun yalnızca bir kez gerçekleşmesi gerekir.

Kaspersky, oyuncunun sunucuyu tehlikeye atmak için ProxyLogon kusurlarına güvenebileceğini ve bunun dokuz ay önce yama uygulandıktan sonra bile sorun olmaya devam edebileceğini söylüyor.

Ancak aktörler, Owowa’nın geliştirilmesinde mükemmel bir iş çıkarmadı, kötü amaçlı yazılım yürütülebilir dosyasında PDB yollarını gizleyemedi ve bazı durumlarda sunucu çökmelerine neden oldu.

Güçlü yetenekler

Owowa, özellikle Exchange sunucularının OWA uygulamalarını hedefler ve OWA oturum açma web sayfasında başarılı bir şekilde kimlik doğrulaması yapan kullanıcıların kimlik bilgilerini günlüğe kaydetmek için tasarlanmıştır.

Oturum açma başarısı, bir kimlik doğrulama belirteci oluşturmak için OWA uygulamasının izlenmesiyle otomatik olarak doğrulanır.

Bir kimlik doğrulama belirtecinin oluşturulması için izleme
Bir kimlik doğrulama belirtecinin oluşturulması için izleme
Kaynak: Kaspersky

Böyle bir durumda, Owowa kullanıcı adını, parolayı, kullanıcı IP adresini ve geçerli zaman damgasını saklar ve RSA kullanarak verileri şifreler.

Oyuncu daha sonra kötü amaçlı modüle manuel olarak bir komut göndererek çalınan verileri toplayabilir.

Uzak komutlar, güvenliği ihlal edilmiş uç noktada PowerShell’i yürütmek için de kullanılabilir ve bir dizi saldırı olasılığına yol açar.

Kaspersky, “Siber suçluların, kullanıcı adı ve parola alanlarına özel hazırlanmış komutları girmek için yalnızca güvenliği ihlal edilmiş bir sunucunun OWA oturum açma sayfasına erişmesi gerekir” diye açıklıyor.

“Bu, saldırganların bir Exchange sunucusunda kalıcı olarak hedeflenen ağlarda güçlü bir yer edinmeleri için etkili bir seçenektir.”

IIS modülünü tespit edin ve kaldırın

Yöneticiler, bir IIS sunucusunda yüklü tüm modüllerin listesini almak için ‘appcmd.exe’ komutunu veya IIS yapılandırma aracını kullanabilir.

Araştırmacılar tarafından görülen durumlarda, kötü amaçlı modül, aşağıda gösterildiği gibi “ExtenderControlDesigner” adını kullanır.

Listede vurgulanan kötü amaçlı modül
Listede vurgulanan kötü amaçlı modül
Kaynak: Kaspersky

Araştırmacılar, araştırma sırasında RaidForums hack forumunda bir hesaba yönlendirilmiş olsalar da, ilişkilendirme zayıf kalıyor ve genellikle bilinen aktörlerle hiçbir ilişki yok.

Ayrıca, modülün geliştirilmesindeki dikkatsizlik, devlet kurumları da dahil olmak üzere, hedefleme kapsamına uymayan karmaşık olmayan bir aktörün işaretidir.

Özetle, bu, IIS modüllerinizi düzenli olarak kontrol etmenin, ağınızda yanal hareket belirtileri aramanın ve uç nokta güvenlik kalkanlarınızı açık tutmanın öneminin bir başka hatırlatıcısıdır.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.