کشف یک Post-exploitation framework بنام IceApple روی Exchange | Ping Channel
کشف یک Post-exploitation framework بنام IceApple روی Exchange Server های آسیب پذیر! محققان امنیتی روی Exchange Server های آسیب پذیری که هک شده اند یک post-exploitation framework پیشرفته بنام IceApple کشف کردند که ساختاری ماژولار دارد و در طراحی خود از 18 ماژول مختلف بهره می برد. هریک از ماژول های این Toolset یک وظیفه اصلی را برعهده دارند. (مثلا لیست کردن فایلها و فولدرها، سرقت Passwordها، دسترسی به اکتیو دایرکتوری و انتقال اطلاعات به بیرون و... ) هکرها با نفوذ به Exchange بلافاصله شروع به سوء استفاده نمی کنند بلکه ابتدا Hacktoolهای موردنظر خود (مثل IceApple) را نصب میکنند تا حتی بعد از نصب Patch های Exchange هم بتوانند ارتباط خود را با سیستم قربانی حفظ کنند. نکته جالب درخصوص IceApple این است که این Toolset یک Momory Framework است و بعد از استقرار برای اجرا شدن فقط به سرویس IIS نیاز دارد. لذا کشف آن توسط ابزارهای فارنزیک مشکل است و این نشان میدهد که هدف طراحان آن بهره برداری طولانی مدت از آن بوده است. شرکت امنیتی CrowdStrike در گزارشش گفته حدس میزند که یک دولت پشت ساخت IceApple باشد./منبع
آیا IceApple در ایران هم مشاهده شده؟ گرچه در گزارش CrowdStrike به نام کشورهای قربانی اشاره نشده اما با توجه به اینکه متاسفانه هنوز سازمانهای زیادی علیرغم هشدارهای مکرر مرکز ماهر و افتا نسبت به رفع آسیب پذیریهای Exchange اقدام نکرده اند میتوان حدس زد که سرورهای زیادی در ایران به IceApple آلوده شده باشند و چه بسا IceApple اصلا برای اهداف ایرانی طراحی شده باشد! نگاهی به سرورهای آسیب پذیر در ایران نشان میدهد که متاسفانه و متاسفانه و متاسفانه نام سازمانهایی چون: بانک! سازمان دولتی شرکتهای تولید کننده نرم افزارهای بانکی! شرکتهای خودرویی کارگزاری بورس شرکتهای پتروشیمی و پالایشگاهی شرکتهای فعال در حوزه صنعت و معدن شهرداری تعداد زیادی دانشگاه و انبوهی از شرکتهای خصوصی و استارتاپی همچنان در لیست سروهای آسیب پذیر دیده میشود!
پ. ن: آیا وقت آن نرسیده است که استفاده از Microsoft Exchange که پای ثابت آسیب پذیری های ماهانه مایکروسافت است و در شبکه سازمانها معمولا از طریق اینترنت نیز در دسترس است در زیرساختهای حیاتی کشور ممنوع شود؟!