技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

admin 2021年11月30日03:13:43安全文章评论36 views3603字阅读12分0秒阅读模式

https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html

技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

从2021年1月开始,Mandiant Managed Defense观察到至少在一个客户环境中发生多起滥用微软Exchange服务器的情况。观察到的活动包括创建用于持久访问的web shells、远程代码执行和侦察终端安全解决方案。我们的调查显示,在Exchange服务器上创建的文件是由用户NT AUTHORITY/SYSTEM拥有的,NT AUTHORITY/SYSTEM是Windows操作系统上的一个具有特权的本地账户。此外,创建web shell的进程是UMWorkerProcess.exe,该进程负责Exchange服务器的统一消息服务。在随后的调查中,我们观察到由w3wp.exe创建的恶意文件,该进程负责Exchange Server的Web前端。

针对这一活动,我们建立了威胁狩猎活动 (Threat hunting campaigns),旨在识别更多的滥用Exchange Server的行为。我们还利用这些数据建立了更高保真度的网络服务器进程链检测。2021年3月2日,微软发布了一篇博客文章,详细介绍了用于攻击Microsoft Exchange Server内部版本的多个零日漏洞。微软还针对以下漏洞发布了紧急的Exchange Server更新:

技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

表1.2021年3月微软Exchange CVE和FireEye英特尔总结清单 2021年3月Microsoft Exchange CVEs和FireEye Intel汇总表

微软报告的活动与我们的观察结果一致。FireEye 目前在 UNC2639、UNC2640 和 UNC2643 三个群组中跟踪这种活动。我们预计在应对入侵时还会有更多的群组。我们建议遵循微软的指导,立即修补 Exchange Server,以减轻这种活动的影响。

根据我们的遥测(telemetry),我们已经确定了一系列受影响的受害者,包括美国的零售商、地方政府、一所大学和一家工程公司。相关活动还可能包括一个东南亚政府和中亚电信公司。微软报告称,这些利用活动是一起发生的,并与一个被追踪的单一行为群体 "HAFNIUM "有关,该组织此前曾针对美国的国防公司、律师事务所、传染病研究人员和智库。

在这篇博客文章中,我们将详细介绍我们对目前正在进行的积极调查的观察。随着我们对这一威胁行为体的经验和知识的增长,我们将视情况更新本博文或发布新的技术细节。对于我们的 Managed Defense (托管防御) 客户,我们已经启动了一个社区保护活动,将提供有关该威胁行为体和活动的频繁更新。

从漏洞到Web Shell

从2021年1月开始,Mandiant Managed Defense (托管防御) 观察到在客户环境中的一个Microsoft Exchange服务器文件系统上创建了web shell。该web shell名为help.aspx(MD5:4b3039cf227c611c45d2242d1228a121),包含的代码用于识别 (1) FireEye xAgent、(2) CarbonBlack或 (3) CrowdStrike Falcon终端产品的存在并写入发现的输出。图1提供了web shell的代码片段。

技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

图1:为识别受害者系统上是否存在端点安全软件而制作的web shell help.aspx的片段


该web shell由UMWorkerProcess.exe进程写入系统,该进程与Microsoft Exchange Server的统一消息服务相关联。这一活动表明,CVE-2021-26858被利用了。


大约二十天后,攻击者在一个单独的Microsoft Exchange Server上放置了另一个web shell。这第二个经过部分混淆的web shell名为iisstart.aspx(MD5:0fd9bffa49c76ee12e51e3b8ae0609ac),它更高级,包含与文件系统交互的功能。如图2所示,该Web shell包括运行任意命令和上传、删除及查看文件内容的能力。

技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

图2:攻击者在2021年1月底上传的iisstart.aspx的片段


虽然Web shells的使用在威胁行为者中很常见,但这些文件的parent进程、时间和受害者清楚地表明,这些活动是从滥用Microsoft Exchange开始的。


2021年3月,在一个单独的环境中,我们观察到一个威胁行为者利用一个或多个漏洞,在易受攻击的Exchange服务器上放置至少一个Web shell。这很可能像在其他环境中一样,建立持久性和二次访问。在这种情况下,Mandiant 观察到进程 w3wp.exe(与 Exchange Web 前端相关联的 IIS 进程)生成 cmd.exe 以向磁盘写入文件。

技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

图3:在被入侵的Exchange Server系统上发现的片段


我们观察到,至少在两个案例中,威胁行为者随后对Exchange网络服务器发出了以下命令:

net group "Exchange Organization administrators" administrator /del /domain.

该命令试图从Exchange组织管理员组中删除管理员用户,从当前域中的域控制器开始。如果系统在单系统域中,则会在本地计算机上执行。


根据微软的博客,他们已经确定了更多的漏洞后的活动,包括:

  • 通过转储LSASS进程内存窃取证书。

  • 通过 7-Zip 压缩数据以进行渗透。

  • 使用 Exchange PowerShell Snap-ins 来导出邮箱数据。

  • 使用额外的攻击性安全工具 Covenant、Nishang 和 PowerCat 进行远程访问。

我们观察到的活动,加上信息安全行业的其他活动,表明这些威胁行为者很可能是利用Exchange Server的漏洞在环境中立足。这种活动之后,很快就会出现更多的访问和持久性机制。如前所述,我们有多个正在进行的案例,并将在应对入侵时继续提供见解。


调查建议

我们建议检查以下潜在的泄密证据:

  • Exchange服务器上C:Windows/System32/inetsrvw3wp.exe的子进程,特别是cmd.exe。

  • w3wp.exe或UMWorkerProcess.exe写入系统的文件。

  • SYSTEM用户拥有的ASPX文件

  • 在临时ASP.NET文件目录下新增、意外编译的ASPX文件。

  • 从外部IP地址向以下资源发出侦察、漏洞测试请求:

          - /rpc/ directory

          - /ecp/DDI/DDIService.svc/SetObject

          -  不存在的资源

          - 与可疑或欺骗的HTTP用户agents

  • 出乎意料或可疑的 Exchange PowerShell SnapIn 导出邮箱请求

在我们迄今为止的调查中,在每次入侵中,放置在Exchange服务器上的web shell的命名都不一样,因此,仅凭文件名并不能作为入侵的高保真指标。


如果您认为您的 Exchange Server 已被入侵,我们建议进行调查,以确定攻击的范围和威胁行为者的停留时间。


此外,由于系统和 Web 服务器日志可能有时间或大小的限制,我们建议保留以下鉴识证物 (artifacts)进行取证分析:

  • 至少14天来自inetpubLogsLogFiles目录的HTTP网络日志(包括所有子目录的日志)。

  • Exchange Web 服务器的内容(也可以在 inetpub 文件夹中找到)。

  • 至少14天的Exchange控制面板(ECP)日志,位于Program Files/Microsoft/Exchange Server/v15/Logging/ECP/Server中。

  • 微软Windows事件日志

我们在这些日志文件夹中发现了重要的狩猎和分析价值,特别是ECP服务器日志中的可疑CMD参数。我们将在观察到更多相关活动时,继续更新技术细节。

技术指标

以下是我们观察到的技术指标,按照我们目前与该活动相关的威胁群组来组织。为了提高调查的透明度,我们为网络指标加入了一个最后已知的真实值,或LKT。LKT时间戳表示Mandiant最后一次知道该指标与对手相关联的时间;然而,与所有正在进行的入侵一样,应该考虑一个合理的时间窗口。

UNC2639

技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

UNC2640

技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

UNC2643

技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

检测技巧

FireEye 可在我们的平台上检测到这种活动。以下包含特定的检测名称,这些名称提供了我们与这些威胁行为者相关联的 Exchange Server 开发或开发后活动的指标。

技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为


THE

END

技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

本文始发于微信公众号(安世加):技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月30日03:13:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为 http://cn-sec.com/archives/416008.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: