Học viện hack đạo đức Đào tạo hack đạo đức ở Pune – Ấn Độ

Hacking cực đoan | Sadik Shaikh | Cyber ​​Suraksha Abhiyan

Tín dụng: Sổ đăng ký

Một phần mềm độc hại chưa được phát hiện gần đây sử dụng các chức năng cơ bản của Máy chủ Microsoft Exchange Exchange để giám sát và điều khiển hệ thống máy tính từ xa.

Các nhà nghiên cứu tại ESET cho biết tuần này phần mềm khó chịu, được gọi là LightNeuron, đặc biệt khó khăn cho các quản trị viên phát hiện vì nó lợi dụng các thành phần hợp pháp trong Exchange.

Cụ thể, ESET cho biết, LightNeuron điều hành sự kết hợp giữa một DLL độc và một Đại lý vận tải được chế tạo đặc biệt. Được thiết kế cho những thứ như lọc thư rác và các tệp đính kèm sàng lọc, Đại lý vận tải phân tích tất cả các tin nhắn đi vào và ra khỏi máy chủ.

Có thể hiểu được, việc có được một Đại lý vận tải độc hại trên máy chủ (chẳng hạn như thông qua lệnh PowerShell) sẽ đặc biệt hữu ích cho ai đó muốn theo dõi công ty và điều tồi tệ cho quản trị viên.

Hiểu theo kiến ​​thức của chúng tôi, tận dụng một đại lý vận tải Microsoft Exchange để duy trì là một điều gì đó độc đáo và chưa từng thấy trước đây, ES ESET cho biết.

Sau đó, trong vài trường hợp chúng tôi nghiên cứu, LightNeuron đã chạy với các đặc quyền HỆ THỐNG. Thông thường rất khó để đạt được mức đặc quyền này trên máy chủ Microsoft Exchange, vì đây là một trong những tài sản quan trọng nhất trong một tổ chức. Do đó, một khi đã bị xâm phạm, có khả năng nó sẽ không bị phát hiện trong nhiều tháng hoặc nhiều năm. Khăn

Nửa sau của nhiễm trùng là một DLL độc hại xử lý và thực thi các lệnh bổ sung. Thư viện có thể thực hiện các đơn đặt hàng để thực hiện những việc như gửi thư, đăng nhập và truyền hoạt động và sửa đổi các thư đi qua máy chủ.

Gửi các lệnh đó yêu cầu nhúng chúng vào tệp đính kèm. Trong trường hợp ESET được quan sát, điều này được thực hiện bằng cách ghi ảnh – nhập các lệnh vào mã hex của tệp PDF hoặc JPG.

Kẻ tấn công sẽ đưa lệnh vào tệp và gửi nó dưới dạng tệp đính kèm trong tin nhắn đến máy chủ bị nhiễm. Thông báo sẽ được phát hiện bởi đại lý vận tải LightNeuron, sau đó sẽ chuyển nó đến DLL, nơi thông tin hình ảnh sẽ được truy cập và bất kỳ lệnh nào trong đó được thực thi.

Do đó, những kẻ xấu (trong trường hợp này là Turla, một hoạt động lâu dài nhắm vào các hoạt động ngoại giao ở châu Âu và Trung Đông) có thể giữ quyền truy cập và kiểm soát từ xa Máy chủ Exchange mà không bị lọt vào mắt của bộ lọc phần mềm độc hại hoặc spam. trên máy bị nhiễm.

Ngay cả khi nó bị bắt, xóa sạch nhiễm trùng bằng bất cứ thứ gì viết lại hoàn toàn của máy chủ là một quá trình tẻ nhạt.

Viking Việc dọn dẹp LightNeuron không phải là một nhiệm vụ dễ dàng, ES ESET giải thích.

Chỉ cần xóa hai tệp độc hại sẽ phá vỡ Microsoft Exchange, ngăn mọi người trong tổ chức gửi và nhận email. [[9009007]

Thay vào đó, cơ quan bảo mật khuyến nghị các quản trị viên thay vào đó hãy khóa các lỗ mở được sử dụng để lấy LightNeuron trên máy chủ ngay từ đầu. Tài khoản quản trị viên phải được bảo mật tốt với quyền truy cập lệnh 2FA và PowerShell nên được hạn chế nghiêm ngặt và các cài đặt của Đại lý vận tải được giám sát chặt chẽ.

www.extremehacking.org

Sadik Shaikh | Cyber ​​Suraksha Abhiyan, Viện đào tạo hack đạo đức, CEHv10, CHFI, ECSAv10, CAST, ENSA, CCNA, CCNA AN NINH, MCITP, RHCE, CHECKPOINT, ASA FIREWALL, MẠNG, CÁCH MẠNG, CÁCH MẠNG Hacking đạo đức, Trung tâm đào tạo an ninh nâng cao ở Ấn Độ, khóa ceh v10 ở Pune-Ấn Độ, chứng nhận ceh ở pune-Ấn Độ, đào tạo ceh v10 ở Pune-Ấn Độ, Khóa học đạo đức ở Pune-Ấn Độ


nguon http://blog.extremehacking.org/blog/2019/05/09/want-rootkit-level-access-without-the-hassle-enter-lightneuron-for-exchange-server/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây