据报道,一个长期运行的网络组织开发了一个复杂的Microsoft Exchange服务器后门,该后门可以拦截,重定向和修改电子邮件,并代表受感染的受害者发送邮件。 网络安全公司ESET在后门上发布了详细的分析,该后门被称为LightNeuron(趋势科技将其检测为TROJAN.MSIL.TURLA.A)。 是什么使LightNeuron变得危险?
与LightNeuron相关的网络组织是Turla,这是一个黑客团队,以使用异常策略并针对不同行业的不同知名受害者而闻名。
这是有史以来首次报告的对邮件传输代理的恶意使用,这是由Microsoft或第三方创建的出于合法目的的软件。 其中许多是为了安全起见,用于过滤垃圾邮件,恶意附件等。 由于其预期用途,这些传输代理可以访问服务器,并可以对服务器处理的电子邮件进行一定程度的控制。
根据ESET报告,LightNeuron具有两个主要组件:在Microsoft Exchange配置中注册的传输代理,以及包含大多数恶意代码的DLL。 执行之前,需要具有管理特权才能将所需的文件拖放到Microsoft Exchange服务器上。 一旦成功执行,安装后门的黑客就可以使用JPG或PDF附件发布命令,并通过隐写术嵌入命令(已知技巧)。 这是秘密地发出命令的一种特别复杂的方式,因为它们隐藏在附件中,可以轻易地伪装成普通邮件甚至是垃圾邮件。 如果后门有效,受害者将不会意识到它正在接收来自伪装邮件的命令,并且可能会执行诸如阻止电子邮件之类的恶意操作。
除LightNeuron之外,安全研究人员还注意到用于远程Outlook软件访问的工具,例如远程管理软件和恶意软件。 该工具可用于通过发送到受感染服务器的电子邮件来控制本地网络上的其他计算机。 推荐的解决方案
对于像LightNeuron这样的复杂威胁,没有灵丹妙药,而要防御此后门,则需要有效且分层的安全性。 为了防止损害并增强电子邮件服务器的安全性,IT管理员应为管理Exchange服务器帐户使用强而唯一的密码,并检查所有传输代理均来自受信任的方。
企业也将从多层安全解决方案中受益,该解决方案可防御这种恶意软件带来的风险。
Trend Micro端点解决方案(例如,云安全智能防护套件和企业安全无忧版解决方案)可以通过检测恶意文件和消息以及阻止所有相关的恶意URL,保护用户和企业免受威胁。 趋势科技趋势科技服务器深度安全防护系统™阻止恶意软件到达企业服务器(无论是物理服务器,虚拟服务器还是云服务器)。
Trend Micro™XGen™安全性提供了高保真机器学习,可以保护网关和终结点并保护物理,虚拟和云工作负载。 借助采用Web / URL过滤,行为分析和自定义沙箱的技术,XGen安全性提供了针对不断变化的,绕过传统控件并利用已知和未知漏洞的威胁的保护。 XGen安全性还为趋势科技的安全解决方案套件提供了支持:混合云安全性,用户保护和网络防御。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢