Vừa qua, Volexity và Microsoft có công bố các bài phân tích về các chiến dịch tấn công sử dụng các lỗ hổng 0-day nhắm đến các phiên bản Exchange Server on-prem. Theo như báo cáo của MS, các cuộc tấn công liên quan đến Microsoft Exchange sử dụng 0-day bao gồm CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE -2021-27065. Ảnh hưởng tới các phiên bản MS Exchange Server 2013,2016 và 2019. Thông qua các hành vi, cách thức, các command ghi nhận trên hệ thống SIEM, chúng tôi đã thực hiện forensic ngay trước khi lỗ hổng được công bố.
Các tổ chức, đơn vị có thể tham khảo bài viết phân tích của Volexity[1]. Trong bài viết này, NCS sẽ đưa thêm một số dấu hiệu để xác định tấn công để tự kiểm tra trong hệ thống Mail Exchange của tổ chức
Dấu hiệu phát hiện
IIS log:
Kiểm tra các truy cập tới đường dẫn /ecp/<single char>.js. trả về mã response code là 200 . Chúng tôi phát hiện được 3 file có dạng x.js , y.js, z.js thông qua log. User-Agent là ExchangeServicesClient/0.0.0.0 và Python-requests/2.22.0
Exchange ECP log
Lỗ hổng RCE liên quan tới set-OabVirtualDirectory ExchangePowershell cmdlet. Kiểm tra trong các HttpProxy log nằm trong Exchange ECP log (thư mục chứa log của Exchange: c:\Program Files\Microsoft\Exchange Server\{Version}\Logging\ ) với đoạn log ghi nhận truy cập url: /ecp/DDI/DDIService.svc/SetObject với tham số schema là OABVirtualDirectory và ResetOABVirtualDirectory, có thể thêm UserAgent là python-requests.
Webshell/Malware Path:
Chúng tôi phát hiện các webshell nằm tại các đường dẫn sau
\inetpub\wwwroot\aspnet_client\system_web\
\inetpub\wwwroot\aspnet_client\
Ngoài ra, cần thực hiện kiểm tra webshell trong đường dẫn Exchange như:
%ProgramFiles%\Microsoft\Exchange Server\<version>\ClientAccess %ProgramFiles%\Microsoft\Exchange Server\<version>\FrontEnd
Chú ý kiếm tra các webshell dưới dạng dll trong các thư mục bin, ví dụ như:
\Program Files\Microsoft\Exchange Server\<Version>\ClientAccess\owa\bin hoặc \Program Files\Microsoft\Exchange Server\<Version>\FrontEnd\HttpProxy\owa\bin …
Các DLL độc hại nằm tại các đường dẫn:
C:\\Windows\Microsoft.Net\FrameWork\sbs_clrhost.dll
C:\Program Files\Common Files\microsoft shared\WMI\iiswmi.dll
C:\Program Files\Common Files\System\websvc.dll
C:\\Windows\Microsoft.Net\FrameWork64\\v4.030319\Util.config
C:\\Windows\Microsoft.Net\FrameWork64\version.dll
Tên các webshell:
Aspnet_client.aspx
Errorv.aspx
Access.aspx
Hashes
Webshell hashes
286F877DAD9E7CECC69A0FA30DE582DE910A1E6E C3FA8F4B7A2D84E1A54A2DC973985C76652BBCF2
DLL hashes
3ED18FBE06D6EF2C8332DB70A3221A00F7251D55
C8675C1578D3FDD22CBB0F64340258BCFDD5743F 3399681CFD6F7F2A270D9A543021ED9B93E85675
1EE063A2B7B29334E7388B621AE8B37DD2488210
Network
Ghi nhận các IP sau có liên quan trong đó IP 167.99.168.251 cũng đã được nhắc đến trong bài viết của Volexity:
167.99.168.251
185.220.101.204
162.247.72.199
194.156.98.191
202.182.100.134
109.70.100.55
185.220.101.18
193.36.119.144
Sau khi khai thác các lỗ hổng thành công, attacker triển khai webshell trên máy chủ bị compromised. Một ví dụ về các webshell mà chúng tôi thu thập được:
Thực hiện write file:
Thực hiện biên dịch và thực thi class, method được yêu cầu:
Sau khi có được webshell, chúng tôi phát hiện thêm các DLL sau được drop xuống. iisvmi.dll(x64) DLL này sẽ được chạy dưới dạng một service tên là ExchangeSvc. Nhiệm vụ của DLL này drop ra một dll khác có tên websvc.dll. Dll websvc.dll nhận tham số là chuỗi base64, với chuỗi base64 là tham số truyền vào từ iisvmi.dll được lưu trữ trên registry. websvc.dll sẽ thực hiện việc decrypt chuỗi base64, xor với 63 , decompress gzip để được một DLL mới.DLL này sẽ load trực tiếp trên memory. Phân tích chi tiết các mẫu mã độc, chúng tôi xin phép update vào bài viết khác.
Thông tin các bản vá xem tại https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
FROM #độixửlísựcốsấpmặt with LOVE
[1] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/