Analyse zeigt großen Feature-Umfang der neuesten Exchange-Malware
Seit Monaten wird eine neue Malware gegen zahlreiche Microsoft Exchange-Server eingesetzt. Inzwischen sind von Kaspersky auch weitergehende Informationen darüber veröffentlicht worden, wie der Schadcode namens SessionManager funktioniert.
Der Trojaner gibt sich als legitimes Modul für die Internet Information Services (IIS) aus, den Webserver, der standardmäßig auf Exchange-Servern installiert ist. Unternehmen setzen häufig solche IIS-Module ein, um bestimmte Prozesse in ihrer Web-Infrastruktur zu steuern. Daher stellt es oft keine (Schutz-) Option dar, diese Funktionalität vollständig abzuschalten.
Das nutzen die Angreifer in diesem Fall aus. Sicherheitsforscher Kasperskys haben 34 Exchange-Server in 24 Unternehmensnetzen gefunden, die seit März letzten Jahres mit SessionManager infiziert wurden. In einigen Fällen konnte man in Zusammenarbeit mit den zuständigen Administratoren gegen die Malware vorgehen, zu Beginn dieses Monats waren allerdings noch 20 der ursprünglich entdeckten Organisationen infiziert.
Darüber hinaus verfügt die Malware auch über klassische Backdoor-Funktionen, die es den Angreifern ermöglichen, aus der Ferne im Dateisystem zu lesen, eigene Daten zu hinterlegen und auch Inhalte zu löschen. Und auch die Möglichkeit zum Ausführen eingeschleuster Codes ist enthalten. Hinzu kommen natürlich verschiedene Features zum Aufbau von HTTP-Verbindungen, über die abgegriffene Daten dann verschickt werden, ohne die Server-eigenen Tools zu nutzen, was Spuren in den Log-Dateien hinterließe.
Bei den Analysen der verschiedenen Infektionen fanden die Kaspersky-Forscher gleich mehrere Varianten der Malware. Die Samples zeigen eine stetige Entwicklung, bei der mit jeder neuen Version weitere Funktionen hinzugefügt wurden. Mit diesen wurden die Fähigkeiten zur Vorauswahl und der Verfeinerung des Diebstahls von Daten immer weiter entwickelt. Bisher wurde SessionManager über eine Schwachstelle installiert, die unter dem Namen ProxyLogon bekannt ist. Seit dem 2. März bietet Microsoft bereits einen Patch an, der diese Lücke schließt.
Siehe auch:
Das nutzen die Angreifer in diesem Fall aus. Sicherheitsforscher Kasperskys haben 34 Exchange-Server in 24 Unternehmensnetzen gefunden, die seit März letzten Jahres mit SessionManager infiziert wurden. In einigen Fällen konnte man in Zusammenarbeit mit den zuständigen Administratoren gegen die Malware vorgehen, zu Beginn dieses Monats waren allerdings noch 20 der ursprünglich entdeckten Organisationen infiziert.
Umfangreiche Features
Ist SessionManager erst einmal auf einem System installiert, kann die Malware auf vielfältige Möglichkeiten zurückgreifen. Immerhin verfügen ISS-Module in der Regel nicht gerade über nur wenige begrenzte Rechte. Verschiedene Bestandteile sorgen unter anderem dafür, dass der Schädling Passwörter direkt aus dem Arbeitsspeicher extrahieren und an seine Entwickler weiterleiten kann.Darüber hinaus verfügt die Malware auch über klassische Backdoor-Funktionen, die es den Angreifern ermöglichen, aus der Ferne im Dateisystem zu lesen, eigene Daten zu hinterlegen und auch Inhalte zu löschen. Und auch die Möglichkeit zum Ausführen eingeschleuster Codes ist enthalten. Hinzu kommen natürlich verschiedene Features zum Aufbau von HTTP-Verbindungen, über die abgegriffene Daten dann verschickt werden, ohne die Server-eigenen Tools zu nutzen, was Spuren in den Log-Dateien hinterließe.
Bei den Analysen der verschiedenen Infektionen fanden die Kaspersky-Forscher gleich mehrere Varianten der Malware. Die Samples zeigen eine stetige Entwicklung, bei der mit jeder neuen Version weitere Funktionen hinzugefügt wurden. Mit diesen wurden die Fähigkeiten zur Vorauswahl und der Verfeinerung des Diebstahls von Daten immer weiter entwickelt. Bisher wurde SessionManager über eine Schwachstelle installiert, die unter dem Namen ProxyLogon bekannt ist. Seit dem 2. März bietet Microsoft bereits einen Patch an, der diese Lücke schließt.
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon