Cập nhật ‘nhẹ’ về lỗ hổng bảo mật 0day Microsoft Exchange đang được sử dụng để tấn công các tổ chức tại Việt Nam

Vừa qua, Volexity và Microsoft có công bố các bài phân tích về các chiến dịch tấn công sử dụng các lỗ hổng 0-day nhắm đến các phiên bản Exchange Server on-prem. Theo như báo cáo của MS, các cuộc tấn công liên quan đến Microsoft Exchange sử dụng 0-day bao gồm CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE -2021-27065. Ảnh hưởng tới các phiên bản MS Exchange Server 2013,2016 và 2019. Thông qua các hành vi, cách thức, các command ghi nhận trên hệ thống SIEM, chúng tôi đã thực hiện forensic ngay trước khi lỗ hổng được công bố.

Các tổ chức, đơn vị có thể tham khảo bài viết phân tích của Volexity[1]. Trong bài viết này, NCS sẽ đưa thêm một số dấu hiệu để xác định tấn công để tự kiểm tra trong hệ thống Mail Exchange của tổ chức

Dấu hiệu phát hiện 

IIS log:

Kiểm tra các truy cập tới đường dẫn /ecp/<single char>.js.  trả về mã response code là 200 . Chúng tôi phát hiện được 3 file có dạng x.js , y.js, z.js thông qua log.  User-Agent là ExchangeServicesClient/0.0.0.0 và Python-requests/2.22.0

Exchange ECP log

Lỗ hổng RCE liên quan tới set-OabVirtualDirectory ExchangePowershell cmdlet. Kiểm tra trong các HttpProxy log nằm trong Exchange ECP log (thư mục chứa log của Exchange: c:\Program Files\Microsoft\Exchange Server\{Version}\Logging\ ) với đoạn log ghi nhận truy cập url: /ecp/DDI/DDIService.svc/SetObject với tham số schema là OABVirtualDirectory và ResetOABVirtualDirectory, có thể thêm UserAgent là  python-requests. 

Webshell/Malware Path: 

Chúng tôi phát hiện các webshell nằm tại các đường dẫn sau

\inetpub\wwwroot\aspnet_client\system_web\

\inetpub\wwwroot\aspnet_client\

Ngoài ra, cần thực hiện kiểm tra webshell trong đường dẫn Exchange như:

%ProgramFiles%\Microsoft\Exchange Server\<version>\ClientAccess  %ProgramFiles%\Microsoft\Exchange Server\<version>\FrontEnd

Chú ý kiếm tra các webshell dưới dạng dll trong các thư mục bin, ví dụ như:

 \Program Files\Microsoft\Exchange Server\<Version>\ClientAccess\owa\bin hoặc \Program Files\Microsoft\Exchange Server\<Version>\FrontEnd\HttpProxy\owa\bin …

Các DLL độc hại nằm tại các đường dẫn:

C:\\Windows\Microsoft.Net\FrameWork\sbs_clrhost.dll
C:\Program Files\Common Files\microsoft shared\WMI\iiswmi.dll
C:\Program Files\Common Files\System\websvc.dll
C:\\Windows\Microsoft.Net\FrameWork64\\v4.030319\Util.config
C:\\Windows\Microsoft.Net\FrameWork64\version.dll

Tên các webshell:

Aspnet_client.aspx

Errorv.aspx

Access.aspx

Hashes

Webshell hashes

286F877DAD9E7CECC69A0FA30DE582DE910A1E6E C3FA8F4B7A2D84E1A54A2DC973985C76652BBCF2

DLL hashes

3ED18FBE06D6EF2C8332DB70A3221A00F7251D55

C8675C1578D3FDD22CBB0F64340258BCFDD5743F 3399681CFD6F7F2A270D9A543021ED9B93E85675

1EE063A2B7B29334E7388B621AE8B37DD2488210

Network

Ghi nhận các IP sau có liên quan trong đó IP 167.99.168.251 cũng đã được nhắc đến trong bài viết của Volexity:

167.99.168.251

185.220.101.204

162.247.72.199

194.156.98.191

202.182.100.134

109.70.100.55

185.220.101.18

193.36.119.144

Sau khi khai thác các lỗ hổng thành công, attacker triển khai webshell trên máy chủ bị compromised. Một ví dụ về các webshell mà chúng tôi thu thập được:

Thực hiện write file:

Thực hiện biên dịch và thực thi class, method được yêu cầu:

Sau khi có được webshell, chúng tôi phát hiện thêm các DLL sau được drop xuống. iisvmi.dll(x64) DLL này sẽ được chạy dưới dạng một service tên là ExchangeSvc. Nhiệm vụ của DLL này drop ra một dll khác  có tên websvc.dll. Dll websvc.dll nhận tham số là chuỗi base64, với chuỗi base64 là tham số truyền vào từ iisvmi.dll được lưu trữ trên registry. websvc.dll sẽ thực hiện việc decrypt chuỗi base64, xor với 63 , decompress gzip để được một DLL mới.DLL này sẽ load trực tiếp trên memory. Phân tích chi tiết các mẫu mã độc, chúng tôi xin phép update vào bài viết khác.

Thông tin các bản vá xem tại https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

FROM #độixửlísựcốsấpmặt with LOVE

[1] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/