Outlook登录页面键盘记录器攻击分析与防御指南

攻击概述

网络安全公司Positive Technologies发现一起针对Microsoft Exchange服务器的全球性攻击活动，攻击者在Outlook Web App (OWA)登录页面中植入了基于浏览器的键盘记录器。

攻击技术细节

入侵途径

• 已知漏洞利用：部分服务器存在以下旧漏洞：
  • ProxyLogon (CVE-2021-26855)
  • ProxyShell漏洞 (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
  • SMBGhost (CVE-2020-0796)
• 未知入侵方法：部分受影响服务器未受已知公开漏洞影响，表明攻击者可能使用其他未公开的入侵方法

键盘记录器实现方式

1. 第一种JavaScript键盘记录器：

   • 窃取认证表单中的登录凭证
   • 偶尔会窃取用户cookie
   • 将数据写入被入侵服务器上可通过互联网访问的文件

2. 第二种JavaScript键盘记录器：

   • 将窃取的数据外泄至：
     • Telegram机器人
     • Discord服务器
   • 添加标记使攻击者能识别被盗凭证所属的组织

影响范围

地理分布

• 越南、俄罗斯、中国台湾地区、中国、澳大利亚
• 亚洲、欧洲、非洲和中东的其他国家

受影响机构类型

• 政府机构（22台服务器）
• IT企业
• 工业企业
• 物流企业

检测与防御措施

检测方法

1. 检查登录页面和用户认证相关文件：

   • 查找潜在的恶意JavaScript代码
   • 特别注意OWA登录页面

2. 检查MS Exchange Server文件夹：

   • 查找Web Shell
   • 查找可疑页面
   • 使用研究人员提供的YARA规则进行扫描

应急响应措施

1. 确认入侵后：

   • 开展深入调查，确认攻击者是否已渗透其他系统和网络
   • 重置所有通过受感染页面访问账户的用户的登录凭证

2. 预防措施：

   • 及时修补所有已知漏洞
   • 实施严格的访问控制策略
   • 监控异常网络流量，特别是到Telegram和Discord的外联连接

用户防护建议

• 使用浏览器访问OWA时：

  • 注意检查网址是否正确
  • 使用双因素认证
  • 定期更改密码

• 组织应：

  • 实施Web应用防火墙(WAF)规则检测键盘记录器
  • 部署端点检测与响应(EDR)解决方案
  • 对员工进行安全意识培训

参考资源

• Positive Technologies研究报告
• 相关CVE漏洞信息：
  • CVE-2021-26855
  • CVE-2021-34473
  • CVE-2021-34523
  • CVE-2021-31207
  • CVE-2020-0796