交易所漏洞 2021

Khan安全团队

发布于 2022-01-06 09:59:13

4340

发布于 2022-01-06 09:59:13

文章被收录于专栏：Khan安全团队

介绍

在过去的几天里，有很多关于 Microsoft Exchange Server 中几个关键零日漏洞的新闻报道，这些漏洞正在根据以下 CVE 进行跟踪：

CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

不幸的是，我们最近发现瑞士有数百个组织受到利用上述漏洞的威胁行为者的攻击。虽然微软将最初的、在野外观察到的妥协归因于一个名为 HAFNIUM 的中国国家支持的组织，但自微软发布补丁以来，其他几个威胁行为者很快就掌握了这一漏洞。因此，我们已开始根据受信任的第三方提供给我们的信息通知可能受到攻击的组织。

自 Microsoft 发布安全更新以来，感染已变得更加普遍。我们已通过 Twitter（3 月 2 日）、NCSC 主页和我们封闭的社区平台向公众发出警告。与此同时，我们获悉瑞士有几台遭到入侵的 Exchange 服务器。请注意，此漏洞不仅会影响向 Internet 公开 OWA（Outlook Web Access）的 Exchange 服务器，还会影响使用 https（例如 ActiveSync 或统一消息、脱机通讯簿 (OAB) 和其他服务）公开其他组件的服务器。

我们有证据表明，该漏洞在 Microsoft 于 2021 年 3 月 2 日发布初始公告后很快就被利用，甚至可能在短短几个小时内就被利用。目前，我们仍在接收和发送有关瑞士漏洞和可能受感染组织的信息。如果您从 NCSC 收到此类信息，或者如果您想确保您没有受到损害，我们建议您遵循以下提到的程序。如果您不确定自己是否具备内部技术知识，我们强烈建议您向提供事件响应的专业公司寻求支持。

确保您已打补丁

确定您的服务器是否仍然易受攻击或它们是否已成功修补。Microsoft在此处提供修补指南以及生命周期结束 (EOL) 产品的修补程序。请注意，尽管EOL补丁微软提供的Exchange 2007，2010，这些版本EOL和应该迁移到支持的版本尽快地。

请注意，在妥协后打补丁是不够的，系统必须从头开始重建。如果这在短期内无法实现，那么Microsoft 的缓解工具可以对 Exchange 漏洞应用临时缓解措施并删除一些攻击者工件。

寻找法医文物

检测是否存在 webshell。有几个地方不应该存在 .aspx 或者只有很少的地方由 Exchange Server 本身提供：
\inetpub\wwwroot\aspnet_client\ (any .aspx file under this folder or sub folders) \<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (TimeoutLogoff.aspx is legit) \<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (newer files (e.g. after 2nd of March 2021 that do not belong to the installation)) \<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\ (should not contain .aspx files) \<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\ (should not contain .aspx files)
微软提供了一个当前已知的webshell 被删除位置的列表。
您还可以使用 YARA 扫描 webshell 的存在，例如通过 Nextron Systems 提供的免费Loki Scanner或使用Volexity提供的 YARA 规则

搜索其他取证文物：
- 在发布日期（可能提前 14 天开始）和现在驻留在 Exchange Server Web 根目录之间的时间范围内写入的所有文件。
- 由 C:\Windows\System32\inetsrv\w3wp.exe 启动的子进程，例如 cmd.exe
- 由 w3wp.exe 或 UMWorkerProcess.exe 编写的文件。
- 同样有希望的是搜索已知被这些攻击者团体使用的以下工具（但这些工具可能已被他们的团队合法使用 - 特别是在 psexec 的情况下）：
  - 来自 SysInternals Tool Suite 的 psexec 和 procdump。
  - WinRAR 用于窃取被盗数据
  - Powershell 脚本
  - ASPx 和 PHP webshell。但是，一般而言，您可以查看在该时间段内上传了哪些文件并进行检查。
  - 来自 Nishang Tool Suite Github 的工具
  - Powercat - Powershell 中的网络猫：Github
- 搜索新创建的具有高权限的用户帐户
- 使用 Powershell CmdLet 搜索邮箱访问（例如 New-MailboxExportRequest）

已知的 Webshell SHA256 哈希值：
b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

分析您的日志文件

一个好的方法是检查来自 Exchange IIS 的日志。通常攻击者不会伪装用户代理，因此新用户代理或指向脚本的用户代理可能是一个很好的指标。

搜索不寻常的用户代理或仅在安全公告发布后出现的用户代理。Volexity 提供了在执行 POST 请求的这些攻击期间使用的已知用户代理列表。请注意，这些用户代理中的大多数也可以是合法的，因此将搜索与对可疑 URL 的 POST 请求结合起来
在您的日志文件中搜索在安全公告发布之前从未被访问过的 .aspx 文件。
搜索对您在搜索取证人工制品期间找到的文件的请求。这可能会给你一个提示，如果在最初的妥协后有攻击者的活动
在没有 Referer 的情况下搜索 POST 请求。
仔细查看您的 AD 日志并搜索横向移动的迹象
查看您的 AV 日志中是否有可疑条目，例如阻止 Mimikatz 或其他攻击工具
搜索和监视源自交换服务器的出站连接。
搜索参考，例如下面提到的字符串或其变体： S:CMD=Set-OabVirtualDirectory.ExternalUrl='
已知在这些攻击中使用了以下 URL： hXXp://p.estonine[.]com/p?e hXXp://cdn.chatcdn.net/p?low 两个域都托管在同一个 IP 地址 (188.166.162[.]201) 上，我们建议将与驻留在该 IP 地址上的域的任何连接视为可疑。

攻击者曾多次使用以下 IP 地址之一。请注意，IP 地址可能会导致误报。
103.77.192[.]219 104.140.114[.]110 104.248.49[.]97 104.250.191[.]110 108.61.246[.]56 112.66.255[.]71 139.59.56[.]239 149.28.14[.]163 157.230.221[.]198 161.35.1[.]207 161.35.1[.]225 161.35.45[.]41 161.35.51[.]41 161.35.76[.]1 165.232.154[.]116 167.99.168[.]251 167.99.239[.]29 182.18.152[.]105 185.250.151[.]72 188.166.162[.]201 192.81.208[.]169 203.160.69[.]66 211.56.98[.]146 45.77.252[.]175 5.2.69[.]14 5.254.43[.]18 77.61.36[.]169 80.92.205[.]81 86.105.18[.]116 89.34.111[.]11 91.192.103[.]43