https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
从2021年1月开始,Mandiant Managed Defense观察到至少在一个客户环境中发生多起滥用微软Exchange服务器的情况。观察到的活动包括创建用于持久访问的web shells、远程代码执行和侦察终端安全解决方案。我们的调查显示,在Exchange服务器上创建的文件是由用户NT AUTHORITY/SYSTEM拥有的,NT AUTHORITY/SYSTEM是Windows操作系统上的一个具有特权的本地账户。此外,创建web shell的进程是UMWorkerProcess.exe,该进程负责Exchange服务器的统一消息服务。在随后的调查中,我们观察到由w3wp.exe创建的恶意文件,该进程负责Exchange Server的Web前端。
针对这一活动,我们建立了威胁狩猎活动 (Threat hunting campaigns),旨在识别更多的滥用Exchange Server的行为。我们还利用这些数据建立了更高保真度的网络服务器进程链检测。2021年3月2日,微软发布了一篇博客文章,详细介绍了用于攻击Microsoft Exchange Server内部版本的多个零日漏洞。微软还针对以下漏洞发布了紧急的Exchange Server更新:
表1.2021年3月微软Exchange CVE和FireEye英特尔总结清单 2021年3月Microsoft Exchange CVEs和FireEye Intel汇总表
微软报告的活动与我们的观察结果一致。FireEye 目前在 UNC2639、UNC2640 和 UNC2643 三个群组中跟踪这种活动。我们预计在应对入侵时还会有更多的群组。我们建议遵循微软的指导,立即修补 Exchange Server,以减轻这种活动的影响。
根据我们的遥测(telemetry),我们已经确定了一系列受影响的受害者,包括美国的零售商、地方政府、一所大学和一家工程公司。相关活动还可能包括一个东南亚政府和中亚电信公司。微软报告称,这些利用活动是一起发生的,并与一个被追踪的单一行为群体 "HAFNIUM "有关,该组织此前曾针对美国的国防公司、律师事务所、传染病研究人员和智库。
在这篇博客文章中,我们将详细介绍我们对目前正在进行的积极调查的观察。随着我们对这一威胁行为体的经验和知识的增长,我们将视情况更新本博文或发布新的技术细节。对于我们的 Managed Defense (托管防御) 客户,我们已经启动了一个社区保护活动,将提供有关该威胁行为体和活动的频繁更新。
从漏洞到Web Shell
从2021年1月开始,Mandiant Managed Defense (托管防御) 观察到在客户环境中的一个Microsoft Exchange服务器文件系统上创建了web shell。该web shell名为help.aspx(MD5:4b3039cf227c611c45d2242d1228a121),包含的代码用于识别 (1) FireEye xAgent、(2) CarbonBlack或 (3) CrowdStrike Falcon终端产品的存在并写入发现的输出。图1提供了web shell的代码片段。
图1:为识别受害者系统上是否存在端点安全软件而制作的web shell help.aspx的片段
该web shell由UMWorkerProcess.exe进程写入系统,该进程与Microsoft Exchange Server的统一消息服务相关联。这一活动表明,CVE-2021-26858被利用了。
大约二十天后,攻击者在一个单独的Microsoft Exchange Server上放置了另一个web shell。这第二个经过部分混淆的web shell名为iisstart.aspx(MD5:0fd9bffa49c76ee12e51e3b8ae0609ac),它更高级,包含与文件系统交互的功能。如图2所示,该Web shell包括运行任意命令和上传、删除及查看文件内容的能力。
图2:攻击者在2021年1月底上传的iisstart.aspx的片段
虽然Web shells的使用在威胁行为者中很常见,但这些文件的parent进程、时间和受害者清楚地表明,这些活动是从滥用Microsoft Exchange开始的。
2021年3月,在一个单独的环境中,我们观察到一个威胁行为者利用一个或多个漏洞,在易受攻击的Exchange服务器上放置至少一个Web shell。这很可能像在其他环境中一样,建立持久性和二次访问。在这种情况下,Mandiant 观察到进程 w3wp.exe(与 Exchange Web 前端相关联的 IIS 进程)生成 cmd.exe 以向磁盘写入文件。
图3:在被入侵的Exchange Server系统上发现的片段
我们观察到,至少在两个案例中,威胁行为者随后对Exchange网络服务器发出了以下命令:
net group "Exchange Organization administrators" administrator /del /domain.该命令试图从Exchange组织管理员组中删除管理员用户,从当前域中的域控制器开始。如果系统在单系统域中,则会在本地计算机上执行。
根据微软的博客,他们已经确定了更多的漏洞后的活动,包括:
-
通过转储LSASS进程内存窃取证书。
-
通过 7-Zip 压缩数据以进行渗透。
-
使用 Exchange PowerShell Snap-ins 来导出邮箱数据。
-
使用额外的攻击性安全工具 Covenant、Nishang 和 PowerCat 进行远程访问。
我们观察到的活动,加上信息安全行业的其他活动,表明这些威胁行为者很可能是利用Exchange Server的漏洞在环境中立足。这种活动之后,很快就会出现更多的访问和持久性机制。如前所述,我们有多个正在进行的案例,并将在应对入侵时继续提供见解。
调查建议
我们建议检查以下潜在的泄密证据:
-
Exchange服务器上C:Windows/System32/inetsrvw3wp.exe的子进程,特别是cmd.exe。
-
w3wp.exe或UMWorkerProcess.exe写入系统的文件。
-
SYSTEM用户拥有的ASPX文件
-
在临时ASP.NET文件目录下新增、意外编译的ASPX文件。
-
从外部IP地址向以下资源发出侦察、漏洞测试请求:
- /rpc/ directory
- /ecp/DDI/DDIService.svc/SetObject
- 不存在的资源
- 与可疑或欺骗的HTTP用户agents
-
出乎意料或可疑的 Exchange PowerShell SnapIn 导出邮箱请求
在我们迄今为止的调查中,在每次入侵中,放置在Exchange服务器上的web shell的命名都不一样,因此,仅凭文件名并不能作为入侵的高保真指标。
如果您认为您的 Exchange Server 已被入侵,我们建议进行调查,以确定攻击的范围和威胁行为者的停留时间。
此外,由于系统和 Web 服务器日志可能有时间或大小的限制,我们建议保留以下鉴识证物 (artifacts)进行取证分析:
-
至少14天来自inetpubLogsLogFiles目录的HTTP网络日志(包括所有子目录的日志)。
-
Exchange Web 服务器的内容(也可以在 inetpub 文件夹中找到)。
-
至少14天的Exchange控制面板(ECP)日志,位于Program Files/Microsoft/Exchange Server/v15/Logging/ECP/Server中。
-
微软Windows事件日志
我们在这些日志文件夹中发现了重要的狩猎和分析价值,特别是ECP服务器日志中的可疑CMD参数。我们将在观察到更多相关活动时,继续更新技术细节。
技术指标
以下是我们观察到的技术指标,按照我们目前与该活动相关的威胁群组来组织。为了提高调查的透明度,我们为网络指标加入了一个最后已知的真实值,或LKT。LKT时间戳表示Mandiant最后一次知道该指标与对手相关联的时间;然而,与所有正在进行的入侵一样,应该考虑一个合理的时间窗口。
UNC2639
UNC2640
UNC2643
检测技巧
FireEye 可在我们的平台上检测到这种活动。以下包含特定的检测名称,这些名称提供了我们与这些威胁行为者相关联的 Exchange Server 开发或开发后活动的指标。
本文始发于微信公众号(安世加):技术干货 | 检测和应对利用Microsoft Exchange零日漏洞的行为
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论