av Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 2 mars 2021 släppte Microsoft akuta säkerhetsuppdateringar för Microsoft Exchange Server som patchade sju sårbarheter, bland annat fyra zero-day-sårbarheter som redan aktivt utnyttjats av flera hotaktörer.

ESET:s telemetri avslöjade att flera cyberspionagegrupper av kinesiskt ursprung som LuckyMouse, Tick och Calypso utnyttjade åtminstone CVE-2021-26855 för att erhålla förhandsautentiserad fjärrkodsexekvering på sårbara lokala Exchange-servrar.

De patchade zero-day-sårbarheterna CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, och CVE-2021-27065. Hotaktörer kan knyta samman sårbarheterna för att uppnå icke-auktoriserad fjärrexekvering av kod. Dessa sårbarheter påverkar endast lokalt installerade Microsoft Exchange-servrar och inte Exchange Online eller Microsoft 365 molnbaserade e-posttjänster.

CISA  släppte också ett nöddirektiv som kräver att alla amerikanska federala organisationer omedelbart patchar Microsoft Exchange och lämnar en rapport om exploateringsstatus senast kl. 12.00 EST fredagen den 5 mars 2021. ESET har observerat att de flesta målen finns i USA med regeringar, advokatbyråer, privata företag och medicinska inrättningar som vertikala mål.

Hotaktörerna laddar upp web shell-program som China Chopper efter framgångsrik exploatering av dessa sårbarheter. Huntress har avslöjat hur flera web shell-program kunde installeras på en Exchange-server, vilket kan tyda på intrång från oberoende hotaktörer. Administratörer bör hålla utkik efter uppladdade web shell-instanser i katalogerna som identifierats av Huntress, Microsoft och ESET:s telemetri.

FireEye spårar för närvarande aktuella hotaktörer som utnyttjar dessa zero-day-sårbarheter i tre kluster, UNC2639, UNC2640 och UNC2643, medan Microsoft Threat Intelligence Center (MSTIC) har spårat denna intrångskampanj till den kinesiska statligt sponsrade gruppen HAFNIUM.

Systemadministratörer bör tänka på att denna säkerhetsuppdatering inte finns tillgänglig för samtliga kumulativa uppdateringar och rollup-uppdateringar. Företag som kör icke-supportade kumulativa uppdateringar eller rollup-uppdateringar av Exchange Server behöver först installera en aktuell supportad RU/CU innan de kan installera säkerhetsuppdateringen.

Identifiering av intrång med Logpoint

Administratörer kan söka efter generering av avvikande processer via Exchange Server Unified Messaging-tjänsten som kan indikera framgångsrik exploatering av CVE-2021-26857.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*UMWorkerProcess.exe" -image IN ["*wermgr.exe", "*WerFault.exe"]

Exploatering av CVE-2021-26857 kan också detekteras via Windows Application händelseloggar eftersom utnyttjandet av denna avserialiseringsbugg genererar felhändelser från MSExchange Unified Messaging-tjänsten.

norm_id=WinServer channel=Application event_type=Error
event_source="MSExchange*"
((message="Watson report*" message="*umworkerprocess*" message="*TextFormattingRunProperties*")
OR (message="An unhandled exception occurred in a UM worker process*" OR message="The Microsoft Exchange Unified Messaging service*"))
-message="*System.OutOfMemoryException*"

På samma sätt kan vi leta efter uppladdning av misstänkta filer från Exchange Servers Unified Messaging-tjänst som kan indikera fall av uppladdade web shells eller andra payloads genom exploatering av CVE-2021-26858.
norm_id=WindowsSysmon label=File label=Create
source_image=”*\UMWorkerProcess.exe” -file IN [“CacheCleanup.bin”, “*.txt”, “*.LOG”, “*.cfg”, “cleanup.bin”] I allmänhet går det att identifiera framgångsrik exploatering genom att leta efter generering av kommandotolken eller PowerShell via IIS-arbetsprocessen w3wp.exe.

norm_id=WindowsSysmon label="Process" label=Create
parent_image="*w2wp.exe" image IN ["*cmd.exe", "*powershell.exe"]

Identifiering av aktiviteter efter framgångsrik exploatering med LogPoint

Microsofts blogg om HAFNIUM har avslöjat användningen av flera verktyg som Nishang, PowerCat och Procdump i efterexploateringsfasen. Hotaktören använde till exempel 7-Zip för att komprimera filer för exfiltrering. Vi kan använda Sysmon för att söka efter misstänkt uppladdning av filer på ovanliga ställen.

norm_id=WindowsSysmon label=File label=Create
file IN ["*.exe", "*.zip", "*.rar", "*.7z"] path IN ["C:ProgramData*", "*AppDataLocal*", "*AppDataRoaming*", "C:UsersPublic*"] -file IN ["vs_setup_bootstrapper.exe", "DismHost.exe"] -source_image IN ["*Microsoft Visual StudioInstaller*BackgroundDownload.exe", "C:Windowssystem32cleanmgr.exe",
"*MsMpEng.exe", "C:WindowsSysWOW64OneDriveSetup.exe", "*AppDataLocalMicrosoftOneDrive*", "*MpCmdRun.exe", "*AppDataLocalTempmpam-*.exe"]

HAFNIUM använde även Procdump på ett liknande sätt för att dumpa LSASS-minne för åtkomst till autentiseringsuppgifter, vilket vi kan hitta genom att söka efter kommandoradsargument för Procdump.

norm_id=WindowsSysmon label="Process" label=Create
command IN ["* -ma lsass*"]

Vi rekommenderar att administratörer söker efter uppladdning av web shell via filskapaningshändelser i Sysmon.

norm_id=WindowsSysmon label=File label=Create
file="*.aspx" path IN ["C:inetpubwwwrootaspnet_client*", "*FrontEndHttpProxyowaauthCurrent*"]

Om Microsoft Defender körs på slutpunkterna ska du söka efter följande skadeprogram och kontrollera vidare om händelserna visat sig ha genererats av Defender.

norm_id=WinServer event_id=1116 event_source="Microsoft-Windows-Windows Defender"
(threat_name IN ["Exploit:Script/Exmann.A!dha", "Behavior:Win32/Exmann.A", "Backdoor:ASP/SecChecker.A",
"Backdoor:JS/Webshell", "Trojan:JS/Chopper!dha", "Behavior:Win32/DumpLsass.A!attk", "Backdoor:HTML/TwoFaceVar.B"] OR
threat IN ["Exploit:Script/Exmann.A!dha", "Behavior:Win32/Exmann.A", "Backdoor:ASP/SecChecker.A",
"Backdoor:JS/Webshell", "Trojan:JS/Chopper!dha", "Behavior:Win32/DumpLsass.A!attk", "Backdoor:HTML/TwoFaceVar.B"])

HAFNIUM använde Nishangs Invoke-PowerShellTcpOneLine som är ett enkelt enkomponents PowerShell reverse shell-kommando som vi kan söka efter med hjälp av processkapande händelser.

norm_id=WindowsSysmon label="Process" label=Create
image IN ["*powershell.exe", "*powershell_ise.exe"] command="*$client = New-Object System.Net.Sockets.TCPClient*"
Similarly, the use of PowerCat can also be detected by using process creation events.
norm_id=WindowsSysmon label="Process" label=Create
image IN ["*cmd.exe", "*powershell.exe", "*powershell_ise.exe"] command="*https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1*"

HAFNIUM importerade också Exchange PowerShell Snapin som kan användas för att exportera mailbox-data och som enkelt kan detekteras med hjälp av processkapande händelser, antingen via Sysmon eller inbyggda händelseloggar.

norm_id=WindowsSysmon label="Process" label=Create
image IN ["*cmd.exe", "*powershell.exe", "*powershell_ise.exe"] command="*Add-PSSnapin Microsoft.Exchange.Powershell.Snapin*"

Volexity och FireEye har också avslöjat de IoC IP-adresser som används av hotaktörer som utnyttjar zero day-sårbarheterna. På så sätt kan administratörer initiera en företagsomfattande IoC-sökning för att avgöra om deras Exchange-servrar har kompromissats.

(source_address IN ["103.77.192.219", "104.140.114.110", "104.250.191.110", "108.61.246.56", "149.28.14.163", "157.230.221.198",
"167.99.168.251", "185.250.151.72", "192.81.208.169", "203.160.69.66", "211.56.98.146", "5.254.43.18", "80.92.205.81", "165.232.154.116", "182.18.152.105", "89.34.111.11", "86.105.18.116"] OR destination_address IN ["103.77.192.219", "104.140.114.110", "104.250.191.110", "108.61.246.56", "149.28.14.163",
"157.230.221.198", "167.99.168.251", "185.250.151.72", "192.81.208.169", "203.160.69.66", "211.56.98.146", "5.254.43.18", "80.92.205.81", "165.232.154.116", "182.18.152.105", "89.34.111.11", "86.105.18.116"])

Som observerats av Huntress och FireEye, efter att ha utnyttjat sårbarheterna, raderade hotaktörerna administratörsanvändaren från gruppen Exchange Organizations Administrators via net command som är lätt att upptäcka.

norm_id=WindowsSysmon label="Process" label=Create image IN ["*net.exe", "*net1.exe"] command="*net*group *Exchange Organization Administrators* /del*"

Nextron Systems Florian Roth har släppt en sigmaregel för sökning efter exploateringsartefakter från HAFNIUM.

(request_method=POST ((url="*/owa/auth/Current/themes/resources/*" OR resource="*/owa/auth/Current/themes/resources/*")
OR ((url="*/owa/auth/Current/*" OR resource="*/owa/auth/Current/*")
user_agent IN ['DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)',
'facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)',
'Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)',
'Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)',
'Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html',
'Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)',
'Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)',
'Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)',
'Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36'])
OR ((url="*/ecp/*" OR resource="*/ecp/*")
user_agent IN ['ExchangeServicesClient/0.0.0.0', 'python-requests/2.19.1', 'python-requests/2.25.1'])
OR (((url="*/owa/*" OR resource="*/owa/*") OR (url="*/aspnet_client/*" OR resource="*/aspnet_client/*"))
user_agent IN ['antSword/v2.1', 'Googlebot/2.1+(+http://www.googlebot.com/bot.html)',
'Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)'])
OR (url IN ["*/owa/auth/Current/*", "*/ecp/default.flt*", "*/ecp/main.css*"] OR resource IN ["*/owa/auth/Current/*", "*/ecp/default.flt*", "*/ecp/main.css*"])
OR (url="*/ecp/*.js*" OR resource="*/ecp/*.js*")))

Sammanfattning

Endast ett fåtal spionagefokuserade hotaktörer befanns utnyttja dessa zero-day-sårbarheter i Exchange-servrar, men vi förväntar oss att ekonomiskt motiverade aktörer börjar lägga till dessa zero-day-sårbarheter i sina arsenaler med tiden. I mars planerar Microsoft att släppa Exchange Server 2016 CU 20 och Exchange Server 2019 CU 9 med säkerhetsuppdateringar för dessa zero-day-sårbarheter. Vi rekommenderar dock starkt att systemadministratörer patchar sina Exchange-servrar snarast.

Det har också rapporterats att vissa företag som patchat sina servrar har upptäckt att de redan kompromissats innan patchning och att hotaktörerna redan etablerat ihållande tillgång till systemen. Administratörer bör tänka på att tillämpning av programuppdateringar inte eliminerar ihållande medier som installerats av hotaktörer.

Contact LogPoint

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch