Ένα malware που χρησιμοποιεί τις βασικές λειτουργίες του Exchange Server της Microsoft, για απομακρυσμένη παρακολούθηση και έλεγχο των συστημάτων υπολογιστών, ανακαλύφθηκε πρόσφατα από τους ερευνητές ασφαλείας της ESET.
Οι ερευνητές δήλωσαν ότι αυτή την εβδομάδα το λογισμικό που είναι αρκετά επικίνδυνο, γνωστό ως LightNeuron, είναι ιδιαίτερα δύσκολο να εντοπιστεί από τους διαχειριστές, καθώς εκμεταλλεύεται τα νόμιμα στοιχεία του Exchange.
Συγκεκριμένα, το LightNeuron συνδυάζει ένα μολυσμένο DLL και έναν ειδικά σχεδιασμένο Transport Agent. Σχεδιασμένοι για πράγματα όπως το φιλτράρισμα ανεπιθύμητων μηνυμάτων και τα συνημμένα ασφαλείας, οι Transport Agents αναλύουν όλα τα μηνύματα που εισέρχονται και εξέρχονται από ένα διακομιστή.
Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Το να έχει τον έλεγχο ενός Transport Agent σε έναν server, είναι μια πολύ καλή πρακτική για έναν hacker που θέλει να παρακολουθήσει κρυφά μία εταιρεία ή έναν οργανισμό.
“Στις λίγες περιπτώσεις που μελετήσαμε, το LightNeuron τρέχει με προνόμια SYSTEM. Είναι συνήθως δύσκολο να αποκτήσετε αυτό το επίπεδο προνομίων σε έναν Microsoft Exchange Server, καθώς είναι ένα από τα πιο κρίσιμα στοιχεία ενός οργανισμού. Είναι πιθανό ότι θα παραμείνει απαρατήρητο για μήνες ή ακόμα και χρόνια” δηλώνει η ESET.
Το άλλο βήμα της μόλυνσης είναι ένα κακόβουλο DLL, που επεξεργάζεται και εκτελεί επιπλέον εντολές, όπως αποστολή αλληλογραφίας, καταγραφή και μετάδοση δραστηριότητας και τροποποίηση μηνυμάτων που ταξιδεύουν μέσω του server.
Στην περίπτωση του LightNeuron, όπως ανακάλυψε η ESET, το malware εισήγαγε εντολές στο hex code ενός αρχείου PDF ή JPG. Ο εισβολέας θα βάλει την εντολή στο αρχείο και θα την στείλει ως συνημμένο σε ένα μήνυμα στο μολυσμένο server. Το μήνυμα θα εντοπιστεί από τον Transport Agent του LightNeuron, το οποίο στη συνέχεια θα μεταβιβαστεί στο DLL, όπου θα αποκτήσει πρόσβαση στις πληροφορίες εικόνας και θα εκτελούνται εντολές εντός αυτού.
Με τον τρόπο αυτό οι hackers, έχουν τη δυνατότητα να παρακολουθούν και να έχουν τον έλεγχο ενός συστήματος, χωρίς ποτέ να γίνουν αντιληπτοί από τα φίλτρα ασφαλείας. Ωστόσο ακόμα κι αν καταφέρουν να εντοπίσουν το malware, η εξάλειψή του είναι αρκετά δύσκολη, αφού απαιτείται ολοκληρωτική επανεγγραφή του server.
Οι ερευνητές ασφαλείας, προτείνουν στους διαχειριστές να ασφαλίζουν τους servers τους ενάντια στο LightNeuron. Οι λογαριασμοί διαχειριστή θα πρέπει να είναι καλά ασφαλισμένοι με 2FA και η πρόσβαση στις εντολές PowerShell θα πρέπει να είναι αυστηρά περιορισμένη, ενώ και οι εγκαταστάσεις Transport Agent θα πρέπει να παρακολουθούνται στενά.