s0072-owaauth - RunkIntel

# OwaAuth > Tipo: **malware** · S0072 · [MITRE ATT&CK](https://attack.mitre.org/software/S0072) ## Descrição [[s0072-owaauth|OwaAuth]] é um web shell e ladrão de credenciais implantado em servidores Microsoft Exchange, aparentemente utilizado de forma exclusiva pelo [[g0027-threat-group-3390|Threat Group-3390]] (APT27/Emissary Panda), grupo de espionagem chinês. O OwaAuth se disfarça como um componente legítimo do Outlook Web Access (OWA), mascarando-se na estrutura de diretórios do IIS para parecer um módulo nativo do Exchange. Uma vez implantado, o OwaAuth funciona como um keylogger persistente da página de login do OWA, capturando credenciais de todos os usuários que autenticam no servidor de e-mail corporativo. Esta abordagem é extremamente eficaz pois fornece ao atacante credenciais de toda a organização sem necessidade de comprometer cada máquina individualmente. O malware também implementa timestomping para ocultar sua data de instalação. A exclusividade de uso pelo [[g0027-threat-group-3390|Threat Group-3390]] e sua implantação em servidores Exchange altamente privilegiados demonstram o nível de acesso e sofisticação operacional do grupo, focado em espionagem de longo prazo em alvos governamentais, de defesa e energia. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1505-004-iis-components|T1505.004 - IIS Components]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Detecção - Auditar regularmente componentes IIS instalados e módulos não-padrão no Exchange ([[t1505-004-iis-components|T1505.004]]) - Monitorar modificação de arquivos nos diretórios do OWA por processos não-relacionados ao Exchange ([[t1505-003-web-shell|T1505.003]]) - Detectar timestomping de arquivos em diretórios de aplicação web ([[t1070-006-timestomp|T1070.006]]) - Implementar monitoramento de integridade de arquivos (FIM) nos diretórios do Exchange ## Relevância LATAM/Brasil Servidores Microsoft Exchange on-premises ainda são amplamente utilizados em organizações brasileiras dos setores governo, jurídico e financeiro. A implantação de web shells como o OwaAuth em servidores Exchange é uma técnica documentada em múltiplas campanhas contra organizações brasileiras. As vulnerabilidades ProxyLogon e ProxyShell de 2021 foram amplamente exploradas para implantar web shells em servidores Exchange no Brasil, tornando esta categoria de ameaça de alta relevância operacional. ## Referências - [MITRE ATT&CK - S0072](https://attack.mitre.org/software/S0072)