信息來源：FreeBuf

近日，安全專家在微軟的Exchange中發(fā)現(xiàn)了一個非常隱蔽的后門，該后門的存在，可導致攻擊者通過郵件感染服務器，完成修改或阻止以及撰寫新郵件的操作。

研究人員將這個后門稱為：LightNeuron。原理是通過使用隱寫PDF和JPG附件的電子郵件，實現(xiàn)對目標用戶的遠程控制。目前已證實該后門被Turla網(wǎng)絡間諜小組使用過。

關(guān)于LightNeuron

LightNeuron是第一個使用微軟Exchange傳輸代理作為后門程序的惡意行為。研究人員表示，Exchange的功能允許使用者直接接觸郵件服務器所采用的傳輸代理，以達到處理或修改郵件的目的，郵件的傳輸代理又可以直接由微軟或第三方供應商直接在體系內(nèi)部創(chuàng)建。并且在郵件服務器發(fā)送或接收電子郵件時，經(jīng)常會出現(xiàn)傳輸代理進行處理的情況，若在此時調(diào)用/修改傳輸代理，則可以直接實現(xiàn)修改電子郵件內(nèi)容。

這個設定的初衷是用于合法目的，但如我們所見，它的弊端也已經(jīng)被不法分子發(fā)現(xiàn)了。除了傳輸代理（位于Program Files文件夾中的Exchange文件夾并在郵件服務器中進行了相應的配置）之外，該后門還會使用傳輸代理所需的DLL文件來達成惡意行為。

如前所述，后門的存在，可以攔截電子郵件，修改郵件正文、收件人、主題，創(chuàng)建新郵件，替換附件，以及從Exchange服務器重新創(chuàng)建和發(fā)送電子郵件以繞過垃圾郵件過濾器。并且還能創(chuàng)建電子郵件附件日志，對郵件進行加密和存儲，并解析JPG/PDF附件并執(zhí)行其中附帶的命令。

除此之外，LightNeuron還可以用來編寫和執(zhí)行文件，刪除文件，執(zhí)行進程，禁用自身進程，執(zhí)行大量日志記錄（后門操作、調(diào)試、錯誤內(nèi)容等）并在特定時間自動泄漏特定文件。

在對此事件的調(diào)查過程中，研究人員還發(fā)現(xiàn)LightNeuron與遠程管理軟件，基于RPC的惡意軟件或面向Outlook Web Access的.NET Web shell等工具會同時出現(xiàn)，并且通過利用這些軟件，攻擊者可以輕松通過發(fā)送到Exchange服務器上的電子郵件來取得本地計算機及局域網(wǎng)到控制權(quán)。

最后，根據(jù)惡意軟件樣本中揭秘到一些字符串來判斷，研究人員認為該惡意軟件可能是Linux端的變體。

關(guān)于Turla

Turla（綽號Snake，又名Uroburos）被認為是一個以俄語為主的黑客攻擊群體，其背后很有可能受國家支持，至今已活躍了十多年。通常該組織以世界各地的政府、軍事、國防承包商以及區(qū)域政治組織和教育組織等為目標進行黑客活動。

研究人員表示，LightNeuron的存在至少可以追溯到2014年，但由于其機制的特殊性導致最近才被安全人員發(fā)現(xiàn)。該后門程序很難被檢測到（因其沒有HTTPS(S)），并且通常它僅會針對關(guān)鍵目標進行部署。

ESET惡意軟件研究員Matthieu Faou表示，當前已確認兩個因為后門被攻擊的目標：一個東歐國家的外交部和一個中東地區(qū)的外交組織。

刪除惡意軟件

ESET研究人員已經(jīng)放出了關(guān)于該后門的IoC，以便人們檢查自身是否存在問題。同時研究人員警告稱不要擅自將該惡意文件直接刪除，因為會破壞Microsoft Exchange程序。必須使用管理員賬號限禁用惡意傳輸代理，然后再刪除兩個相關(guān)惡意文件。

同時研究人員建議：如果不想重新安裝郵件服務器，那么請盡快修改感染服務器上的所有具有管理權(quán)限賬號的密碼，否則黑客可以再度發(fā)動攻擊。