研究人员发现了一种先进的恶意软件，它可以通过感染机构的Outlook Web应用（OWA）邮件服务器来破坏机构的网络。

机构网络新型攻击方式

根据Cybereason安全公司的专家们的消息，网络威胁者通过一个Web邮件服务器攻陷了一个不知名的机构网络，并对它进行了数个月的控制。受 害者是一个总部在美国的中型公共服务公司，该公司联系了Cybereason公司以调查可能的入侵方式。Cybereason在受害者的19000个端点 上部署其产品，以此识别攻击源头并减轻攻击的影响。

在调查过程中，Cybereason发现了一个可疑的DLL文件，该文件被加载到了该机构的微软Outlook Web应用（Outlook Web App，OWA）服务器。该机构使用这个服务器来使得远程用户能够访问Outlook。

OWA是微软Exchange服务器（从5.0版本开始）的一个Web邮箱组件，它允许用户通过使用任何Web浏览器来访问他们的Exchange服务器邮箱。而袭击者在该机构的非警戒区域植入了一个可通过Web访问的服务器后门。

Cybereason发布的一篇报告中声明道：

“OWA 是独一无二的：它是一个关键的内部基础设施，同时它也面临着互联网，使其作为内部、受保护的DMZ以及Web之间的一个中间层。OWA的这个配置创建了一 个理想的攻击平台，因为服务器同时暴露在内部和外部。因为OWA认证是基于域凭据的，所以获取访问OWA服务器权限的人将成为整个机构的域凭据的拥有 者。”

攻击原理介绍

Cybereason的专家们发现了一个可疑的DLL“OWAAUTH.dll”，它与用于身份认证机制的合法OWA DLL名字相同。此外，专家们注意到一些奇怪的内容，因为这个DDL的代码是无符号的，并且它是从一个不同的文件夹进行加载的。

报告中陈述道：

“黑 客安装了一个带有后门的恶意OWAAUTH.dll，OWA使用该DLL作为身份验证机制的一部分，并负责验证环境中所用的活动目录 （Active Directory，AD）服务器用户身份。此外，恶意OWAAUTH.DLL还向IIS服务器中安装了一个ISAPI过滤器，并会过滤 HTTP请求。”

这种设置使得在SSL/TLS解密并提取用户凭证之后，黑客能够以明文形式获得所有请求，网络威胁者在注册表中安装过滤器，以此确保持久性的感染，然后在服务器每次重启之后都会加载恶意代码。提取的身份验证凭证存储在一个加密的文本文件中。

专家们解密了文件，发现超过11000个属于被黑机构公司的凭证。

这些恶意代码提供了存在于目标系统中的完整功能性后门，它允许攻击者操纵OWA服务器上的文件，并使其能够执行命令和任意代码。Cybereason报告中继续陈述道：

“根据定义，OWA要求机构定义一组相对宽松的限制；在这种情况下，OWA配置的方式允许以面向互联网的方式访问服务器，这使得黑客能够在几个月的时间段内不被检测到的情况下，对整个机构的环境建立持久控制。”