af Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 2. marts 2021 udsendte Microsoft sikkerhedsopdateringer til Microsoft Exchange Server, der patchede syv sårbarheder. Blandt dem var fire zero-days, der blev benyttet af flere trusselaktører.

ESET’s telemetri afslørede, at flere cyberspionage-grupper af kinesisk oprindelse som LuckyMouse, Tick og Calypso udnytter CVE-2021-26855 til at opnå forhåndsgodkendt fjernkodeeksekvering på sårbare Exchange-servere på stedet.

De patchede zero-days er CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065. Trusselaktører kan kæde sårbarheder sammen for at opnå uautoriseret fjernkodeeksekvering. Disse sårbarheder påvirker kun de lokale Microsoft Exchange-servere og ikke Exchange Online- eller Microsoft 365 cloud e-mail services.

CISA udsendte også et nøddirektiv, der kræver, at alle amerikanske føderale organisationer omgående patcher Microsoft Exchange og senest fredag den 5. marts 2021 kl. 12.00 rapporterer om udnyttelsesstatus. ESET har noteret, at de fleste af målene er placeret i USA med regeringer, advokatfirmaer, private virksomheder og medicinske faciliteter som mål.

Trusselaktører dropper webshells som China Chopper efter vellykket udnyttelse af disse sårbarheder.Huntress har afsløret, hvordan flere webshells blev installeret i en enkelt Exchange-server, hvilket kan indikere kompromittering fra uafhængige trusselaktører. Administratorer bør holde øje med webshells på lokationer, der er registreret af Huntress, Microsoft og ESET’s telemetri.

FireEye sporer i øjeblikket de trusselaktører , der udnytter disse zero-days i tre klynger, UNC2639, UNC2640 og UNC2643, mens Microsoft Threat Intelligence Center (MSTIC) tilskriver denne kampagne til den kinesiske statssponsorerede gruppe HAFNIUM.

Systemadministratorer skal være opmærksomme på, at denne sikkerhedsopdatering ikke er tilgængelig for alle kumulative og roll-up-opdateringer. Så for virksomheder, der kører en ikke-understøttet Exchange-server kumulativ eller roll-up-opdatering, skal administratorerne først installere den RU/CU, der understøttes i øjeblikket, før de kan installere sikkerhedsopdateringen.

Detektion af udnyttelse i LogPoint

Administratorer kan søge efter unormale processer ved hjælp af Exchange Servers Unified Messaging-tjenesten, der kan indikere vellykket udnyttelse af CVE-2021-26857.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*UMWorkerProcess.exe" -image IN ["*wermgr.exe", "*WerFault.exe"]

Udnyttelsen af CVE-2021-26857 kan også registreres via Windows-applikationens hændelseslogfiler, da udnyttelsen af denne deserialiseringsfejl vil generere fejlhændelser af MSExchange Unified Messaging-tjenesten.

norm_id=WinServer channel=Application event_type=Error
event_source="MSExchange*"
((message="Watson report*" message="*umworkerprocess*" message="*TextFormattingRunProperties*")
OR (message="An unhandled exception occurred in a UM worker process*" OR message="The Microsoft Exchange Unified Messaging service*"))
-message="*System.OutOfMemoryException*"

Ligeledes kan vi søge at droppe mistænkelige filer via Exchange serverens Unified Messaging-tjenesten, som kan indikere placering af webshells eller andre payloads via udnyttelse af CVE-2021-26858.
norm_id=WindowsSysmon label=File label=Create
source_image=”*\UMWorkerProcess.exe” -file IN [“CacheCleanup.bin”, “*.txt”, “*.LOG”, “*.cfg”, “cleanup.bin”] Generelt kan man detektere succesfuld udnyttelse ved at se efter spawning af command-prompt eller PowerShell af IIS-arbejdsprocessen w3wp.exe.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*w2wp.exe" image IN ["*cmd.exe", "*powershell.exe"]

Registrering af efterudnyttelsesaktivitet i LogPoint

Microsofts blog om HAFNIUM har afsløret brugen af flere værktøjer som Nishang, PowerCat og Procdump i efterudnyttelsesfasen. Eksempelvis anvendte trusselaktøren 7-Zip til at komprimere filer til eksfiltrering. Vi kan bruge Sysmon til at lede efter mistænkelige fildrops på usædvanlige steder.

norm_id=WindowsSysmon label=File label=Create
file IN ["*.exe", "*.zip", "*.rar", "*.7z"] path IN ["C:ProgramData*", "*AppDataLocal*", "*AppDataRoaming*", "C:UsersPublic*"] -file IN ["vs_setup_bootstrapper.exe", "DismHost.exe"] -source_image IN ["*Microsoft Visual StudioInstaller*BackgroundDownload.exe", "C:Windowssystem32cleanmgr.exe",
"*MsMpEng.exe", "C:WindowsSysWOW64OneDriveSetup.exe", "*AppDataLocalMicrosoftOneDrive*", "*MpCmdRun.exe", "*AppDataLocalTempmpam-*.exe"]

På samme måde brugte HAFNIUM også Procdump til at dumpe LSASS-hukommelse til adgang til akkreditiver, som vi kan jage ved at søge efter kommandolinjeargumenter for Procdump.

norm_id=WindowsSysmon label="Process" label=Create
command IN ["* -ma lsass*"]

Vi råder administratorer til at søge efter webshell drops via Sysmons filoprettelseshændelser.

norm_id=WindowsSysmon label=File label=Create
file="*.aspx" path IN ["C:inetpubwwwrootaspnet_client*", "*FrontEndHttpProxyowaauthCurrent*"]

Hvis du har Microsoft Defender kørende på slutpunkter, skal du lede efter følgende malware og undersøge nærmere, om sådanne hændelser var genereret af Defender.

norm_id=WinServer event_id=1116 event_source="Microsoft-Windows-Windows Defender"
(threat_name IN ["Exploit:Script/Exmann.A!dha", "Behavior:Win32/Exmann.A", "Backdoor:ASP/SecChecker.A",
"Backdoor:JS/Webshell", "Trojan:JS/Chopper!dha", "Behavior:Win32/DumpLsass.A!attk", "Backdoor:HTML/TwoFaceVar.B"] OR
threat IN ["Exploit:Script/Exmann.A!dha", "Behavior:Win32/Exmann.A", "Backdoor:ASP/SecChecker.A",
"Backdoor:JS/Webshell", "Trojan:JS/Chopper!dha", "Behavior:Win32/DumpLsass.A!attk", "Backdoor:HTML/TwoFaceVar.B"])

HAFNIUM udnyttede Nishangs Invoke-PowerShellTcpOneLine, som er en enkel one-liner PowerShell reverse shell-kommando, som vi kan jage ved hjælp af processkabelseshændelser.

norm_id=WindowsSysmon label="Process" label=Create
image IN ["*powershell.exe", "*powershell_ise.exe"] command="*$client = New-Object System.Net.Sockets.TCPClient*"
Similarly, the use of PowerCat can also be detected by using process creation events.
norm_id=WindowsSysmon label="Process" label=Create
image IN ["*cmd.exe", "*powershell.exe", "*powershell_ise.exe"] command="*https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1*"

HAFNIUM importerede også Exchange PowerShell Snapin, som kan bruges til at eksportere mailboksdata og nemt kan opdages ved hjælp af procesoprettelseshændelser, enten via Sysmon eller indbyggede hændelseslogs.

norm_id=WindowsSysmon label="Process" label=Create
image IN ["*cmd.exe", "*powershell.exe", "*powershell_ise.exe"] command="*Add-PSSnapin Microsoft.Exchange.Powershell.Snapin*"

Volexity og FireEye har også afsløret IoC IP-adresserne, som anvendes af trusselaktører, der udnytter zero-days. Administratorer kan således igangsætte et IoC-sweep for hele virksomheden for at afgøre, om deres Exchange-servere er blevet kompromitteret.

(source_address IN ["103.77.192.219", "104.140.114.110", "104.250.191.110", "108.61.246.56", "149.28.14.163", "157.230.221.198",
"167.99.168.251", "185.250.151.72", "192.81.208.169", "203.160.69.66", "211.56.98.146", "5.254.43.18", "80.92.205.81", "165.232.154.116", "182.18.152.105", "89.34.111.11", "86.105.18.116"] OR destination_address IN ["103.77.192.219", "104.140.114.110", "104.250.191.110", "108.61.246.56", "149.28.14.163",
"157.230.221.198", "167.99.168.251", "185.250.151.72", "192.81.208.169", "203.160.69.66", "211.56.98.146", "5.254.43.18", "80.92.205.81", "165.232.154.116", "182.18.152.105", "89.34.111.11", "86.105.18.116"])

Som bemærket af Huntress og FireEye slettede trusselaktørerne efter udnyttelse af sårbarhederne administratorbrugeren fra Exchange Organizations Administrators-gruppen via en netkommando, som nemt kan detekteres.

norm_id=WindowsSysmon label="Process" label=Create image IN ["*net.exe", "*net1.exe"] command="*net*group *Exchange Organization Administrators* /del*"

Nextron Systems Florian Roth har udgivet en sigmaregel for jagt på Exchange udnyttelsesartefakter efterladt af HAFNIUM.

(request_method=POST ((url="*/owa/auth/Current/themes/resources/*" OR resource="*/owa/auth/Current/themes/resources/*")
OR ((url="*/owa/auth/Current/*" OR resource="*/owa/auth/Current/*")
user_agent IN ['DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)',
'facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)',
'Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)',
'Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)',
'Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html',
'Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)',
'Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)',
'Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)',
'Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36'])
OR ((url="*/ecp/*" OR resource="*/ecp/*")
user_agent IN ['ExchangeServicesClient/0.0.0.0', 'python-requests/2.19.1', 'python-requests/2.25.1'])
OR (((url="*/owa/*" OR resource="*/owa/*") OR (url="*/aspnet_client/*" OR resource="*/aspnet_client/*"))
user_agent IN ['antSword/v2.1', 'Googlebot/2.1+(+http://www.googlebot.com/bot.html)',
'Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)'])
OR (url IN ["*/owa/auth/Current/*", "*/ecp/default.flt*", "*/ecp/main.css*"] OR resource IN ["*/owa/auth/Current/*", "*/ecp/default.flt*", "*/ecp/main.css*"])
OR (url="*/ecp/*.js*" OR resource="*/ecp/*.js*")))

Konklusion

Kun få spionage-fokuserede trusselaktører kunne udnytte disse zero-days i Exchange servere, men vi forventer, at økonomisk motiverede aktører begynder at tilføje disse zero-days til deres arsenal, efterhånden som tiden går. I marts er det planen, at Microsoft skal frigive Exchange Server 2016 CU 20 og Exchange Server 2019 CU 9 med sikkerhedsopdateringer for disse zero-days. Alligevel anbefaler vi kraftigt systemadministratorer at patche deres Exchange-servere med det samme.

Det er også blevet rapporteret, at efter at nogle virksomheder havde patchet deres servere, blev det senere opdaget, at de allerede var blevet kompromitteret før patching, og at trusselaktørerne allerede havde etableret persistens. Administratorer bør huske på, at anvendelse af patches ikke fjerner de persistensmedier, der er installeret af trusselaktørerne.

Contact LogPoint

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch