av Bhabesh Raj Rai, Associate Security Analytics Engineer

2. mars 2021 lanserte Microsoft nødsikkerhetsoppdateringer for Microsoft Exchange Server, som fikset sju sårbarheter. Blant disse var det fire zero-days som ble utnyttet av flere trusselaktører

ESETs telemetri avslørte at flere grupper av kinesiske spioner, blant andre LuckyMouse, Tick og Calypso i alle fall utnytter CVE-2021-26855 for å oppnå forhåndsgodkjent ekstern bruk av koder på sårbare lokale Exchange-servere.

De fiksede zero-days er CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065. Trusselaktører kan «kjede» sårbarheter for å oppnå uautentifisert ekstern bruk av koder. Disse sårbarhetene påvirker bare lokale Microsoft Exchange-servere, ikke Exchange Online eller Microsoft 365 skybaserte e-posttjenester.

CISA utga også et nøddirektiv som krevde at alle amerikanske føderale organisasjoner umiddelbart skulle oppdatere Microsoft Exchange og opprette en rapport om utnyttelsesstatus innen kl. 12.00 EST fredag 5. mars 2021. ESET har merket seg at de fleste målene er lokalisert i USA med styresett, advokatfirmaer, private selskaper og legemiddelselskaper som vertikale mål.

Trusselaktører dropper web shells som China Chopper etter å ha utnyttet disse sårbarhetene på en vellykket måte. Huntress har avslørt hvordan flere web shells ble distribuert på én enkelt Exchange-server, noe som kan tyde på kompromiss fra uavhengige trusselaktører. Administratorer bør se etter web shell drops på steder registrert av Huntress, Microsoft og ESETs telemetri.

FireEye følger trusselaktører som utnytter disse zero-days i tre klynger – UNC2639, UNC2640 og UNC2643 – mens Microsoft Threat Intelligence Center (MSTIC) fokuserer denne kampanjen på den kinesiske statsstøttede gruppen HAFNIUM.

Systemadministratorer bør huske at denne sikkerhetsoppdateringen ikke er tilgjengelig for alle kumulative oppdateringer og rollup-oppdateringer. For virksomheter som kjører en Exchange-server som ikke støttes, må administratorene først installere en RU/CU som støttes, før de kan installere sikkerhetsoppdateringen.

Deteksjon av utnyttelse i LogPoint

Administratorer kan se etter forekomsten av unormale prosesser ved Exchange-serverens Unified Messaging-tjeneste som kan indikere vellykket utnyttelse av CVE-2021-26857.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*UMWorkerProcess.exe" -image IN ["*wermgr.exe", "*WerFault.exe"]

Utnyttelsen av CVE-2021-26857 kan også oppdages via hendelsesloggene for Windows-programmet, ettersom utnyttelsen av denne deserialiseringsfeilen vil generere feilhendelser av MSExchange Unified Messaging-tjenesten.

norm_id=WinServer channel=Application event_type=Error
event_source="MSExchange*"
((message="Watson report*" message="*umworkerprocess*" message="*TextFormattingRunProperties*")
OR (message="An unhandled exception occurred in a UM worker process*" OR message="The Microsoft Exchange Unified Messaging service*"))
-message="*System.OutOfMemoryException*"

På samme måte kan vi se etter at mistenkelige filer blir sluppet av Exchange-serverens Unified Messaging-tjeneste, noe som kan indikere at web shells eller annen nyttelast blir sluppet ved å utnytte CVE-2021-26858.
norm_id=WindowsSysmon label=File label=Create
source_image=”*\UMWorkerProcess.exe” -file IN [“CacheCleanup.bin”, “*.txt”, “*.LOG”, “*.cfg”, “cleanup.bin”] Generelt kan man oppdage vellykket utnyttelse ved å se etter forekomst av ledetekst eller PowerShell av IIS-arbeidsprosess w3wp.exe.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*w2wp.exe" image IN ["*cmd.exe", "*powershell.exe"]

Deteksjon av utnyttelsesaktivitet i etterkant i LogPoint

Microsofts blogg på HAFNIUM har avslørt bruk av flere verktøy som Nishang, PowerCat og Procdump i etterkant av utnyttelsesfasen. Trusselaktøren brukte for eksempel 7-Zip til å komprimere filer for eksfiltrasjon. Vi kan bruke Sysmon til å se etter mistenkelige file drops på uvanlige steder.

norm_id=WindowsSysmon label=File label=Create
file IN ["*.exe", "*.zip", "*.rar", "*.7z"] path IN ["C:ProgramData*", "*AppDataLocal*", "*AppDataRoaming*", "C:UsersPublic*"] -file IN ["vs_setup_bootstrapper.exe", "DismHost.exe"] -source_image IN ["*Microsoft Visual StudioInstaller*BackgroundDownload.exe", "C:Windowssystem32cleanmgr.exe",
"*MsMpEng.exe", "C:WindowsSysWOW64OneDriveSetup.exe", "*AppDataLocalMicrosoftOneDrive*", "*MpCmdRun.exe", "*AppDataLocalTempmpam-*.exe"]

På samme måte brukte HAFNIUM også Procdump til å dumpe LSASS-minnet for å få tilgang til adgangsbevis, noe vi kan jakte på ved å se etter kommandolinjeargumenter for Procdump.

norm_id=WindowsSysmon label="Process" label=Create
command IN ["* -ma lsass*"]

Vi anbefaler administratorer å jakte på web shell drops via Sysmons filopprettelseshendelser.

norm_id=WindowsSysmon label=File label=Create
file="*.aspx" path IN ["C:inetpubwwwrootaspnet_client*", "*FrontEndHttpProxyowaauthCurrent*"]

Hvis Microsoft Defender kjører på endepunkter, må du se etter følgende skadevare og undersøke nærmere om slike hendelser ble generert av Defender.

norm_id=WinServer event_id=1116 event_source="Microsoft-Windows-Windows Defender"
(threat_name IN ["Exploit:Script/Exmann.A!dha", "Behavior:Win32/Exmann.A", "Backdoor:ASP/SecChecker.A",
"Backdoor:JS/Webshell", "Trojan:JS/Chopper!dha", "Behavior:Win32/DumpLsass.A!attk", "Backdoor:HTML/TwoFaceVar.B"] OR
threat IN ["Exploit:Script/Exmann.A!dha", "Behavior:Win32/Exmann.A", "Backdoor:ASP/SecChecker.A",
"Backdoor:JS/Webshell", "Trojan:JS/Chopper!dha", "Behavior:Win32/DumpLsass.A!attk", "Backdoor:HTML/TwoFaceVar.B"])

HAFNIUM benyttet Nishangs Invoke-PowerShellTcpOneLine, som er en enkel PowerShell reverse shell command som vi kan jakte på ved hjelp av prosessopprettelseshendelser.

norm_id=WindowsSysmon label="Process" label=Create
image IN ["*powershell.exe", "*powershell_ise.exe"] command="*$client = New-Object System.Net.Sockets.TCPClient*"
Similarly, the use of PowerCat can also be detected by using process creation events.
norm_id=WindowsSysmon label="Process" label=Create
image IN ["*cmd.exe", "*powershell.exe", "*powershell_ise.exe"] command="*https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1*"

HAFNIUM importerte også Exchange PowerShell Snapin, som kan brukes til å eksportere postboksdata, og som enkelt kan oppdages ved å bruke prosessopprettelseshendelser, enten via Sysmon eller opprinnelige hendelseslogger.

norm_id=WindowsSysmon label="Process" label=Create
image IN ["*cmd.exe", "*powershell.exe", "*powershell_ise.exe"] command="*Add-PSSnapin Microsoft.Exchange.Powershell.Snapin*"

Volexity og FireEye har også oppgitt IoC IP-adressene som brukes av trusselaktører som utnytter zero-days. Administratorer kan derfor starte en IoC sweep for hele bedriften for å avgjøre om Exchange-serverne deres har blitt kompromittert.

(source_address IN ["103.77.192.219", "104.140.114.110", "104.250.191.110", "108.61.246.56", "149.28.14.163", "157.230.221.198",
"167.99.168.251", "185.250.151.72", "192.81.208.169", "203.160.69.66", "211.56.98.146", "5.254.43.18", "80.92.205.81", "165.232.154.116", "182.18.152.105", "89.34.111.11", "86.105.18.116"] OR destination_address IN ["103.77.192.219", "104.140.114.110", "104.250.191.110", "108.61.246.56", "149.28.14.163",
"157.230.221.198", "167.99.168.251", "185.250.151.72", "192.81.208.169", "203.160.69.66", "211.56.98.146", "5.254.43.18", "80.92.205.81", "165.232.154.116", "182.18.152.105", "89.34.111.11", "86.105.18.116"])

Som nevnt av Huntress og FireEye, slettet trusselaktørene administratorbrukeren fra Exchange Organizations Administrators-gruppen via en netkommando som enkelt kan oppdages, etter å ha utnyttet sårbarhetene.

norm_id=WindowsSysmon label="Process" label=Create image IN ["*net.exe", "*net1.exe"] command="*net*group *Exchange Organization Administrators* /del*"

Nextron System’s Florian Roth har utgitt en sigmaregel for jakt på Exchange-utnyttelsesaktivitet fra HAFNIUM.

(request_method=POST ((url="*/owa/auth/Current/themes/resources/*" OR resource="*/owa/auth/Current/themes/resources/*")
OR ((url="*/owa/auth/Current/*" OR resource="*/owa/auth/Current/*")
user_agent IN ['DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)',
'facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)',
'Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)',
'Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)',
'Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html',
'Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)',
'Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)',
'Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)',
'Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36'])
OR ((url="*/ecp/*" OR resource="*/ecp/*")
user_agent IN ['ExchangeServicesClient/0.0.0.0', 'python-requests/2.19.1', 'python-requests/2.25.1'])
OR (((url="*/owa/*" OR resource="*/owa/*") OR (url="*/aspnet_client/*" OR resource="*/aspnet_client/*"))
user_agent IN ['antSword/v2.1', 'Googlebot/2.1+(+http://www.googlebot.com/bot.html)',
'Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)'])
OR (url IN ["*/owa/auth/Current/*", "*/ecp/default.flt*", "*/ecp/main.css*"] OR resource IN ["*/owa/auth/Current/*", "*/ecp/default.flt*", "*/ecp/main.css*"])
OR (url="*/ecp/*.js*" OR resource="*/ecp/*.js*")))

Konklusjon

Vi fant ut at bare noen få spionasjefokuserte trusselaktører hadde utnyttet disse null-dagene på Exchange-servere. Men vi forventer at økonomisk motiverte aktører vil begynne å legge disse zero-days til sitt reportoar etter hvert som tiden går. I mars vil Microsoft lansere Exchange Server 2016 CU 20 og Exchange Server 2019 CU 9 med sikkerhetsoppdateringer for disse zero-days. Vi anbefaler likevel sterkt at systemadministratorene oppdaterer Exchange-serverne sine nå.

Det er også rapportert at, etter at noen virksomheter hadde reparert serverne sine, ble det oppdaget at de allerede har blitt kompromittert før oppdateringen og at trusselaktørene allerede hadde utnyttet dem. Administratorer bør huske at bruk av programoppdateringer ikke vil fjerne mediene trusselaktørene har installert.

Contact LogPoint

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch