OWowA وحدة IIS الضارة

تجعل وحدة خدمات معلومات الإنترنت الضارة من Outlook على الويب أداة لمجرمي الإنترنت.

 

تعمل وحدة خدمات معلومات الإنترنت الضارة (IIS) على تحويل Outlook على الويب إلى أداة لسرقة بيانات الاعتماد ولوحة الوصول عن بُعد. استخدم ممثلون غير معروفين الوحدة، التي يسميها باحثونا OWOWA، في هجمات مستهدفة.

لماذا يجذب Outlook على الويب المهاجمين

Outlook على الويب (المعروف سابقًا باسم Exchange Web Connect و Outlook Web Access و Outlook Web App أو ببساطة OWA) هو واجهة تعتمد الويب للوصول إلى خدمة إدارة المعلومات الشخصية من Microsoft. يتم نشر التطبيق على خوادم الويب التي تقوم بتشغيل IIS.

 

تستخدمه العديد من الشركات لتزويد الموظفين بإمكانية الوصول عن بُعد إلى صناديق بريد الشركة والتقويمات دون الحاجة إلى تثبيت عميل مخصص. هناك عدة طرق لتطبيق Outlook على الويب، تتضمن إحداها استخدام Exchange Server في الموقع، وهو ما ينجذب إليه مجرمو الإنترنت. من الناحية النظرية، يمنحهم التحكم في هذا التطبيق إمكانية الوصول إلى جميع مراسلات الشركة، إلى جانب فرص لا حصر لها لتوسيع هجومهم على البنية التحتية وإطلاق حملات BEC إضافية.

 

كيف يعمل OWOWA

يتم تحميل OWOWA على خوادم ويب IIS المخترقة كوحدة نمطية لجميع التطبيقات المتوافقة، ولكن الغرض منها هو اعتراض بيانات الاعتماد التي تم إدخالها في OWA. يتحقق البرنامج الضار من الطلبات والاستجابات على Outlook على صفحة تسجيل الدخول على الويب، وإذا رأى مستخدمًا قد أدخل بيانات اعتماد وتلقى رمز المصادقة المميز استجابةً لذلك، فإنه يكتب اسم المستخدم وكلمة المرور في ملف (في شكل مشفر).

 

بالإضافة إلى ذلك، يسمح OWOWA للمهاجمين بالتحكم في وظائفه مباشرة من خلال نفس نموذج المصادقة. من خلال إدخال أوامر معينة في حقول اسم المستخدم وكلمة المرور، يمكن للمهاجم استرداد المعلومات التي تم حصادها أو حذف ملف السجل أو تنفيذ أوامر عشوائية على الخادم المخترق من خلال PowerShell.

 

للحصول على وصف تقني أكثر تفصيلاً للوحدة مع مؤشرات التسوية، راجع منشور Securelist.

 

من ضحايا هجمات OWOWA؟

اكتشف خبراؤنا هجمات تستند إلى OWOWA على خوادم في العديد من البلدان الآسيوية: ماليزيا ومنغوليا وإندونيسيا والفلبين. ومع ذلك، فإن خبراءنا لديهم سبب للاعتقاد بأن مجرمي الإنترنت مهتمون أيضًا بالمنظمات في أوروبا.

 

كانت غالبية الأهداف من الوكالات الحكومية، مع واحدة على الأقل من شركات النقل (المملوكة للدولة أيضًا).

 

كيفية الحماية من OWOWA

يمكنك استخدام أمر appcmd.exe – أو أداة تكوين IIS العادية – لاكتشاف وحدة OWowA الضارة (أو أي وحدة IIS أخرى تابعة لجهة خارجية) على خادم ويب IIS. ومع ذلك، ضع في اعتبارك أن أي خادم يواجه الإنترنت، مثل أي جهاز كمبيوتر، يحتاج الحماية .

 

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!