سرورهای MS Exchange، هدف دربپشتی پیچیده LightNeuron
بر اساس گزارشی که شرکت ایست آن را منتشر کرده گروه نفوذگری Turla حداقل از سال 1393 با استفاده از یکی از پیچیدهترین بدافزارهای از نوع دربپشتی (Backdoor) سرورهای MS Exchange را هدف قرار میداده است.
اصلیترین ویژگی این دربپشتی که LightNeuron نامگذاری شده اجرای آن در قالب یک Transport Agent است.
به گفته ایست، LightNeuron نخستین بدافزاری است که بهطور خاص سرورهای MS Exchange را مورد رخنه قرار میدهد. اگر چه تا پیش از این در برخی حملات پیشرفته از دربهای پشتی برای رصد سرورهای ایمیل استفاده شده بود اما LightNeuron با یکپارچگی مستقیم در روند کار MS Exchange به این هدف دست مییابد.
به گزارش شرکت مهندسی شبکه گستر، این دربپشتی مهاجمان را قادر میسازد تا کنترل کاملی بر روی سرور ایمیل آلوده شده داشته و اموری همچون شنود، تغییر مسیر و ویرایش ایمیلهای ورودی و خروجی را به اجرا در آورند. همچنین LightNeuron دارای امکان خواندن و ویرایش هر ایمیلی است که از طریق سرور Exchange رد و بدل میشود. ضمن اینکه میتواند ایمیلهای جدیدی را ارسال یا از انتقال ایمیلهای با مشخصه خاص به کاربر جلوگیری کند.
از دیگر ویژگیهای LightNeuron مکانیزم سرور فرماندهی آن است. بهمحض آلوده شدن سرور MS Exchange به LightNeuron، مهاجمان بجای اتصال مستقیم به آن، از ایمیلهایی با پیوست PDF و JPG برای تبادل فرامین و اطلاعات با دربپشتی استفاده میکنند. به عبارت دیگر، با بکارگیری تکنیک پنهاننگاری (Steganography)، مهاجمان Turla اقدام به مخفی کردن فرامین خود در فایلهای PDF و JPG کرده و دربپشتی نیز با دریافت آنها بر روی سرور آلوده، فرامین را استخراج و اجرا میکند.
گر چه ایست، از ذکر نام قربانیان LightNeuron خودداری کرده اما در گزارش بهطور کلی به سه مورد زیر اشاره شده است:
- سازمانی ناشناخته در برزیل
- وزارت امور خارجه یکی از کشورهای اروپای شرقی
- سازمانهای دیپلماتیک منطقهای در خاورمیانه
Turla، یک گروه نفوذگر حرفهای است که در حملات پیشین ارتباط آن با سازمانهای اطلاعاتی روسیه به اثبات رسیده است. در گزارش ایست نیز اشاره شده که ارسال فرامین به دربپشتی LightNeuron عمدتا در ساعات و روزهایی منطبق با تقویم کاری روسیه انجام میشده است.
رعایت موارد زیر از جمله راههای مؤثر در مقابله با این درب پشتی مخرب است:
- اطمینان از استفاده از رمزهای عبور پیچیده و در صورت امکان بکارگیری اصالتسنجی دو عاملی (2FA) بهخصوص برای کاربران با سطح دسترسی Administrator بر روی سرور MS Exchange
- رصد دقیق فعالیتهای انجام شده توسط حسابهای کاربری با سطح دسترسی Administrator
- محدودسازی اجرای PowerShell
- بررسی مستمر عوامل انتقال پیام (Transport Agent) و اطمینان از تضمین اعتبار آنها توسط تأمینکننده مورد اعتماد (Signed by a Trusted Provider)
مشروح گزارش ایست در اینجا قابل دریافت و مطالعه است.