روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ یک ماژول آلوده‌ی IIS (سرویس‌های اطلاعات اینترنت[1]) در حال تبدیل کردن نسخه وبی Outlook به ابزاری برای سرقت اطلاعات محرمانه و پنل دسترسی ریموت است. عاملین این اقدام مخرب که ناشناخته هستند از این ماژول برای پیش بردن حملات هدف‌دار استفاده می‌کنند. محققین ما نام این ماژول را OWOWA گذاشته‌اند. با ما همراه بمانید تا مفصل‌تر از آن بگوییم.

چرا نسخه وبی  Outlook تا این اندازه مهاجمین را جذب خود کرده است؟

نسخه وبی Outlook (که قبلاً با نام‌های Exchange Web Connect، Outlook Web Access و Outlook Web App یا OWA شناخته می‌شد) یک رابط مبتنی بر وب است مخصوص دسترسی به سرویس مدیریت اطلاعات شخصی مایکروسافت. این اپ روی سرورهای وبی که  IIS را اجرا می‌کنند به کار گرفته می‌شود. بسیاری از شرکت‌ها از آن برای دادن دسترسی ریموت به میل‌باکس‌های سازمانی و تقویم‌ها به کارمندان استفاده می‌کنند؛ بدون آنکه مجبور باشند کلاینت بخصوصی را نصب کنند. روش‌های مختلفی برای بکارگیری Outlook روی وب وجود دارد که یکی از آن‌ها شامل استفاده از  Exchange Server روی سایت می‌شود؛ همانی که مجرمان سایبری همیشه بدان جلب می‌شوند. به لحاظ تئوریک به دست گرفتن کنترل این اپ به آن‌ها دسترسی به کل مکاتبات سازمانی را به همراه فرصت‌هایی بی‌نهایت برای بسط دامنه حمله‌شان روی زیرساخت و اجرای کمپین‌های اضافیِ BEC[2] می‌دهد.

نحوه عملکرد OWOWA

OWOWA روی سرورهای وبِ دستکاری‌شده‌ی IIS بعنوان ماژولی برای همه اپ‌های سازگار لود می‌شود اما هدفش رهگیری اطلاعات محرمانه‌ای است که در OWA وارد شده است. این بدافزار روی صفحه لاگین وبیِ Outlook درخواست‌ها و پاسخ‌ها را چک می‌کند و اگر ببیند کاربری اطلاعات محرمانه‌اش را وارد کرده و در پاسخ توکن احراز هویت دریافت نموده نام کاربری و پسورد را در یک فایل می‌نویسد (در قالب رمزنگاری‌شده). افزون بر این، OWOWA به مهاجمین اجازه می‌دهد تا مستقیماً از طریق همان فرم احراز هویت کارایی آن را کنترل کند. مهاجم با وارد کردن یک سری فرمان خاص در فیلدهای نام کاربری و رمزعبور می‌تواند اطلاعات جمع‌آوری‌شده را بازیابی کند، لاگ فایل را حذف کرده یا روی سرور دستکاری‌شده از طریق پاورشل اجرای فرمان‌های دلخواه داشته باشد.

قربانیان حملات OWOWA چه کسانی هستند؟

متخصصین ما در چندین کشور آسیایی مانند مالزی، مغولستان، اندونزی و فیلیپین شاهد حملات مبتنی بر OWOWA بوده‌اند. با این حال محققین شرکت ما بر این باورند که مجرمان سایبری پشت این اقدام دوست دارند حملات را در سطح سازمانی روی کشورهای اروپایی نیز پیاده کنند. اکثریت تارگت‌ها هم آژانس‌های دولتی بودند که دست‌کم یکی از آن‌ها شرکت شرکت حمل و نقل بوده است (همچنین شرکت‌های دولتی).

راهکارهای امنیتی

شما می‌توانید از فرمان  appcmd.exe–یا ابزار معمول تنظیم IIS- برای شناسایی ماژول آلوده‌ی OWOWA (یا هر ماژول IIS طرف‌سوم دیگر) روی وب‌سرور  IIS استفاده کنید. با این حال در نظر داشته باشید که هر سروری که با اینترنت در تماس باشد مانند هر کامپیوتری به محافظت نیاز دارد.

[1] Internet Information Services

[2] دستکاری ایمیل سازمانی

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.