OWOWA — вредоносный модуль IIS

Вредоносный модуль Internet Information Services превращает Outlook on the web в инструмент киберпреступника.

Наши эксперты обнаружили вредоносный модуль Internet Information Services, который превращает веб-приложение Outlook on the web в инструмент для воровства учетных данных и своеобразную панель для удаленного доступа. Модуль используется неизвестными злоумышленниками в ходе целевых атак, наши исследователи дали ему имя OWOWA.

Что такое Outlook on the web и почему им интересуются злоумышленники

Веб-приложение Outlook on the web, ранее известное под названиями Exchange Web Connect, Outlook Web Access и Outlook Web App, — это веб-интерфейс для доступа к «персональному информационному менеджеру» от Microsoft. Разворачивается это приложение на веб-сервере, работающем на базе Internet Information Services (IIS).

Оно используется множеством компаний для удаленного доступа сотрудников к корпоративным почтовым ящикам и календарям, без необходимости установки специального клиента. Есть несколько вариантов реализации Outlook on the web, в числе прочего оно входит в состав Exchange Server, установленного в инфраструктуре компании, — именно этим вариантом и интересуются злоумышленники. В теории, если они смогут взять это приложение под контроль, то получат доступ ко всей корпоративной переписке, что даст им множество возможностей как для развития атаки на инфраструктуру, так и для организации BEC-атак.

Как работает OWOWA

OWOWA загружается как модуль на скомпрометированном веб-сервере IIS для всех совместимых приложений, но создан он специально для перехвата учетных данных, вводимых в OWA. Этот зловред проверяет запросы и ответы на странице входа в Outlook on the web и, если понимает, что пользователь ввел учетные данные и в ответ успешно получил токен аутентификации, записывает логин и пароль в файл (в зашифрованном виде).

Кроме того, атакующий способен напрямую управлять функциональностью OWOWA через ту же форму аутентификации. Вводя в строки логина и пароля специальные команды, злоумышленник может выгружать собранную информацию, удалять файл с логами или выполнять произвольную команду на скомпрометированном сервере через PowerShell.

Более подробное техническое описание модуля вместе с индикаторами компрометации можно найти в посте на блоге Securelist.

Кого атакуют OWOWA

Наши эксперты обнаружили атаки с применением модуля OWOWA на серверы в нескольких азиатских странах — Малайзии, Монголии, Индонезии, а также на Филиппинах. Однако у них есть основания полагать, что злоумышленники могут интересоваться организациями и в Европе.

Большая часть целей была правительственными организациями. Впрочем, среди них была как минимум одна транспортная компания, но и она принадлежала государству.

Как защититься от OWOWA

Наличие вредоносного модуля OWOWA (или любого другого постороннего IIS-модуля) на веб-сервере IIS можно обнаружить при помощи команды appcmd.exe или штатного инструмента конфигурации IIS.

Кроме того, мы рекомендуем не забывать, что любой сервер, имеющий выход в Интернет, нуждается в защите, как и любой другой компьютер. Поэтому их следует снабжать серверными защитными решениями.

Советы