详细内容或原文请订阅后点击阅览
在 Microsoft Exchange Server 中发现未知的键盘记录程序
恶意代码收集凭据并将其存储在可通过 Internet 访问的文件中。
来源:安全实验室新闻频道恶意代码收集凭据并将其存储在可通过 Internet 访问的文件中。
Positive Technologies 专家安全中心(PT 专家安全中心)报告了一个以前未知的键盘记录器的标识,该键盘记录器内置于 Microsoft Exchange Server 主页中,并收集在可通过 Internet 的特殊路径访问的文件中输入的帐户数据。
积极的技术 报告 一个以前未知的键盘记录程序,内置于 Microsoft Exchange Server 主页中,并收集输入到可通过 Internet 的特殊路径访问的文件中的帐户数据。 键盘记录器攻击检测与分析
攻击检测与分析该事件是由该公司客户之一的事件响应积极技术团队发现的。为了嵌入窃取程序,黑客利用了 Exchange 服务器中的已知漏洞 - ProxyShell。之后,他们将键盘记录器代码添加到主页上。
为了嵌入窃取程序,黑客利用了 Exchange 服务器中的已知漏洞 - ProxyShell。之后,他们将键盘记录器代码添加到主页上。恶意代码注入
恶意代码注入黑客嵌入到Exchange Server主页的代码,在clkLgn()函数中:
黑客嵌入到Exchange Server主页的代码,在函数 clkLgn()受感染 Exchange 服务器主页的代码
受感染 Exchange 服务器主页的代码 受感染 Exchange 服务器主页的代码黑客还在 logon.aspx 文件中添加了代码,用于处理窃取者的结果,并将输入的帐户数据重定向到可从外部访问的特殊文件。
登录.aspx受损 logon.aspx 文件的代码
受损 logon.aspx 文件的代码 受损 logon.aspx 文件的代码执行上图所示的代码后,攻击者可以获取用户输入的帐户数据:
被盗的帐户数据
攻击受害者