研究人员揭露可长期蛰伏于微软Exchange Server的后门程序

2019-05-10 03:26发布

安全业者ESET本周揭露了一个专门锁定微软Exchange Server的后门程序LightNeuron,它变身为Exchange上的传输代理人(Transport Agent)以干预使用者所收发的邮件,黑客集团还能透过电子邮件来操纵LightNeuron。

微软允许Exchange用户安装定制化的软件来处理邮件,其中的传输代理人具备于垃圾邮件过滤机制同样的可靠等级,因此,当黑客于Exchange上植入LightNeuron作为传输代理人之后,它就能读取及变更任何通过该邮件服务器的Email,还能撰写与传送新邮件,或是阻止邮件。

在成功于目标对象的Exchange服务器上植入LightNeuron之后,黑客即透过电子邮件来操纵LightNeuron,通常是在邮件中夹带内含恶意命令的PDF或JPG档案,以用来执行命令/程序/程序、删除或窃取档案或暂时关闭后门等,而且当LightNeuron察觉到这是封含有命令的邮件,即会在伺服器端予以阻止,避免传送到使用者端而被查获。

其实卡巴斯基实验室在去年7月就发现了LightNeuron,不管是ESET或卡巴斯基实验室都认为,LightNeuron与俄罗斯网路间谍集团Turla有关,且自2014年就被应用在实际攻击中,也都认为LightNeuron不仅有Windows版本,也有适用于Postfix及Sendmail的Linux版本。

迄今全球至少有3个组织感染了LightNeuron,一个是东欧外交部,另一个为中东的区域外交组织,还有一个位于巴西。

LightNeuron不仅非常隐密,而且如果只是简单移除相关的两个恶意档案还会破坏Exchange的功能,让受害者完全无法寄出或收到邮件,ESET则建议要移除恶意档案之前,应先关闭恶意的传输代理人。

文章来源: https://www.toutiao.com/group/6689037690924433932/