根據報導,一個運作已久的網路間諜組織開發出一套複雜的Microsoft Exchange伺服器後門程式,可以攔截、重新導向以及修改電子郵件,還能夠偽裝受害者來送出郵件,此後門程式被稱為LightNeuron(趨勢科技偵測為TROJAN.MSIL.TURLA.A)。
為什麼LightNeuron很危險?
LightNeuron跟Turla網路間諜組織有關,這是個以使用非常見策略及針對各產業內知名受害者而聞名的駭客團隊。
這是第一次郵件傳送代理(MTA,可由Microsoft或第三方開發的軟體)遭惡意使用的報告。許多傳送代理都是為了安全理由設計,用來過濾垃圾郵件、惡意附件檔等。為了達到這些目的,這些傳送代理可以存取伺服器所處理的電子郵件,並且具備一定的控制能力。
根據報告,LightNeuron有兩個主要元件:一個是註冊在Microsoft Exchange設定內的傳送代理,另一個是包含大部分惡意程式碼的DLL。必須擁有管理權限才能將所需檔案植入Microsoft Exchange伺服器。一旦植入並執行,安裝後門程式的駭客可以利用JPG或PDF附件檔來送出命令,這些命令是用稱為圖像隱碼術(Steganography)的常見技術來嵌入檔案。這是相當複雜的隱密發布命令方式,因為它們可以隱藏在偽造郵件或垃圾郵件的附件檔內。如果後門程式運作成功,受害者不會察覺它從偽造郵件接收命令,並可能執行封鎖郵件等惡意操作。
除了LightNeuron,安全研究人員還注意到用來針對Outlook Web Access的遠端管理軟體和惡意軟體等工具。這些工具可以透過將電子郵件送到受感染伺服器來控制本地網路內的其他電腦。
推薦解決方案
對付LightNeuron這樣的複雜威脅沒有特效藥,需要有效且分層次的安全防護才能解決這後門問題。為了防止被入侵並加強郵件伺服器的安全防護,IT管理員應該對Exchange伺服器管理帳號設定強大且唯一的密碼,並且檢查是否所有的傳送代理都來自可信任方。
企業還可以利用多層次安全解決方案來抵禦此惡意軟體所帶來的風險。
趨勢科技端點解決方案(如趨勢科技 Smart Protection Suites和 Worry-Free Business Security )能夠偵測惡意檔案和郵件,並且封鎖所有相關惡意網址來保護使用者和企業免於此威脅。趨勢科技Deep Security可以阻止惡意軟體進入企業伺服器,無論是實體、虛擬還是雲端環境。
趨勢科技的XGen安全防護技術提供高保真機器學習功能來防護端點和閘道,並且保護實體、虛擬和雲端的工作環境。使用網頁/網址過濾、行為分析和客製化沙盒等技術,XGen安全防護能夠抵禦今日不斷進化並特製來繞過傳統安全防護並針對已知、未知或未披露漏洞攻擊的惡意威脅。XGen防護技術同時驅動了趨勢科技一系列的防護解決方案:Hybrid Cloud Security混合雲防護,User Protection 使用者防護和Network Defense內網防禦。
@原文出處:Microsoft Exchange Backdoor Gives Hackers Unprecedented Access and Control