НКЦК при РНБО України попереджає про високий рівень кіберзагроз

Національний координаційний центр кібербезпеки при Раді національної безпеки і оборони України попереджає про активну експлуатацію вразливостей у поширеному програмному продукті Microsoft Exchange. У разі успішної експлуатації вразливостей атакуючі мають можливість виконати довільний код у вразливих системах та отримати повний доступ до скомпрометованого серверу, включно із доступом до файлів, електронної пошти, облікових записів тощо. Крім того, успішна експлуатація вразливостей дозволяє отримати несанкціонований доступ до ресурсів внутрішньої мережі організації.

Вразливими є локальні версії Microsoft Exchange Server 2010, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, Microsoft Exchange Server 2019. Інформація щодо вразливостей у хмарних версіях Microsoft 365, Exchange Online, Azure Cloud відсутня.

Нині активно експлуатуються вразливості CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (спільна назва – ProxyLogon), для вразливостей CVE-2021-26412, CVE-2021-26854, CVE-2021-27078 відсутні публічно доступні експлойти.

Найбільшу активність у експлуатації вразливих систем виявило китайське кібершпигунське угруповання Hafnium, проте нині вже підтверджено активність інших хакерських груп, з-поміж яких Tick (Bronze Butler), LuckyMouse (APT27), Calypso, Websiic, Winnti Group (BARIUM, APT41), Tonto Team (CactusPete), ShadowPad, Mikroceen, DLTMiner.

Вразливість експлуатується не лише групами, за якими стоять спецслужби, а й кіберзлочинцями. Підтверджено факти інфікування вразливих систем програмами-вимагачами, зокрема, нових сімейств DearCry,  DoejoCrypt. Сума викупу, яку вимагали злочинці в одному з підтверджених випадків, становила понад 16 тисяч доларів.

Скомпрометовані сервери також використовуються для розсилок шкідливого програмного забезпечення для подальшого інфікування максимальної кількості організацій. В Україні вже зафіксовано кілька таких інцидентів.

Слід зазначити, що зазвичай після компрометації наступними фазами є розвідка (збір даних про інформаційні системи), а згодом – викрадення інформації. Це потребує певного часу, потім у багатьох випадках цінні дані шифруються або видаляються, і за них вимагають викуп. Такий механізм розвитку кібератак створює суттєві загрози втрати даних у скомпрометованих організаціях найближчим часом – від тижнів до місяців.

Компанія Microsoft випустила пакети оновлень для вразливих версій та програмні інструменти, призначені для самостійної перевірки наявності вразливості (https://github.com/microsoft/CSS-Exchange/tree/main/Security). За результатами аналізу установок оновлень та повідомленнями партнерів, процедура оновлення не завжди автоматично дозволяє забезпечити захист від вразливостей для усіх мінорних версій Microsoft Exchange Server. Так, за повідомленням парламенту Норвегії, їх інформаційні системи було зламано та викрадено дані, хоча оновлення були встановлені.

Тому під час установки пакетів оновлень необхідно врахувати таке. Оновлення необхідно застосувати з командного рядка від імені користувача з правами адміністратора, після установки необхідно перезавантажити сервер. Після завершення процесу оновлень необхідно здійснити повторну перевірку можливості експлуатації вразливості (інструменти – утиліта MSERT https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download або скрипт nmap https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse).

Раніше компанія Microsoft повідомляла про несанкціонований доступ до фрагментів вихідного коду її продуктів під час масштабної кібератаки на державні установи та приватні організації США, яка отримала назву Solorigate. Є дані, що деякі з виявлених вразливостей експлуатувалися (як вразливості нульового дня) щонайменше за 2 місяці до випуску пакетів оновлень до Microsoft Exchange Server.

Тому НКЦК рекомендує розглядати системи вразливих версій Microsoft Exchange Server та мережі, в яких вони використовуються, як скомпрометовані, та задіяти процедури реагування на інцидент. У разі якщо під час реагування факт компрометації не підтверджується, рекомендується посилити заходи моніторингу подій безпеки і слідкувати за розвитком ситуації, оскільки надходять нові дані про тактику, техніки та процедури дій атакуючих, та оновлюються індикатори компрометації.

Станом на 12 березня 2021 року в Україні виявлено понад 1000 вразливих серверів Microsoft Exchange Server, з них 98,7% використовуються у приватному секторі.

НКЦК закликає одразу повідомляти про факти компрометації або спроби експлуатації вразливостей за адресою report@ncscc.gov.ua для скоординованого реагування. Фахівці НКЦК готові надати технічну та консультативну допомогу при реагуванні, зокрема, організаціям приватного сектора.

Географічний розподіл вразливих серверів наведено на малюнку.

 

Технічні дані

Агентство CISA (США) рекомендує здійснювати пошук ознак компрометації щонайменше з 1 січня 2021 року.

Перевірити наявність ознак компрометації можна шляхом виконання скрипту (Microsoft) Test-ProxyLogon.ps1 (https://github.com/microsoft/CSS-Exchange/tree/main/Security)

Під час експлуатації вразливостей у скомпрометовану систему встановлюється т.зв. вебшел — скрипт, призначений для віддаленого доступу та управління (адміністрування) інфікованою системою. Зазвичай вебшел використовується для викрадення облікових даних, завантаження іншого шкідливого коду (наприклад, з метою пошуку інших жертв та їх зараження), в якості командного серверу для управління іншими інфікованими системами.

Компанія Volexity провела аналіз експлуатації вразливостей  Microsoft Exchange Server. За даними аналізу:

Здійснюються  HTTP POST запити до таких файлів:

/owa/auth/Current/themes/resources/logon.css

/owa/auth/Current/themes/resources/owafont_ja.css

/owa/auth/Current/themes/resources/lgnbotl.gif

/owa/auth/Current/themes/resources/owafont_ko.css

/owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot

/owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf

/owa/auth/Current/themes/resources/lgnbotl.gif

ЕСР лог файли серверу за шляхом розміщення \Logging\ECP\Server\ містять наступний або схожий рядки:

S:CMD=Set-OabVirtualDirectory.ExternalUrl=’

Про активний вебшел свідчить наявність файлів за такими шляхами:

\inetpub\wwwroot\aspnet_client\ (будь-який файл .aspx за цим шляхом або у підкаталогах)

\\FrontEnd\HttpProxy\ecp\auth\ (будь-який файл, окрім TimeoutLogoff.aspx)

\\FrontEnd\HttpProxy\owa\auth\ (будь-який файл або модифікований файл, який не є частиною стандартної установки)

\\FrontEnd\HttpProxy\owa\auth\Current\ (будь-який файл .aspx за цим шляхом або у підкаталогах)

\\FrontEnd\HttpProxy\owa\auth\\ (будь-який файл .aspx за цим шляхом або у підкаталогах)

Пошук у каталозі за шляхом /owa/auth/Current має входження таких рядків user-agent:

DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)

facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)

Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)

Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)

Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html

Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)

Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)

Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)

Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36

Наведені вище рядки user-agent не є обовязковими індикаторами компрометації, але мають бути досліджені додатково.

Такі рядки user-agent спостерігалися при експлуатації з URL /ecp/:

ExchangeServicesClient/0.0.0.0

python-requests/2.19.1

python-requests/2.25.1

Такі рядки user-agent спостерігалися після експлуатації при доступі до вебшелу:

antSword/v2.1

Googlebot/2.1+(+http://www.googlebot.com/bot.html)

Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)

При виявленні нестандартних рядків user-agent необхідно дослідити логи IIS серверу Exchange для аналізу їх активності. Не є обовязковими індикаторами компрометації такі запити:

POST /owa/auth/Current/

POST /ecp/default.flt

POST /ecp/main.css

POST /ecp/.js

Згідно з повідомленням компанії Microsoft спостерігалася наявність вебшелу у наступних каталогах:

\inetpub\wwwroot\aspnet_client\

\inetpub\wwwroot\aspnet_client\system_web\

%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\

\Exchange\FrontEnd\HttpProxy\owa\auth\

Імена файлу виявлених вебшелів:

web.aspx, help.aspx, document.aspx, errorEE.aspx, errorEEE.aspx, errorEW.aspx, errorFF.aspx,  healthcheck.aspx, aspnet_www.aspx, aspnet_client.aspx, xx.aspx, shell.aspx, aspnet_iisstart.aspx,  one.aspx

Додатковими індикаторами компрометації можуть бути наявність нестандартних підозрілих архівів .zip, .rar, .7z в каталозі C:\ProgramData\, що може свідчити про витік інформації, та дампів процесу LSASS в каталогах C:\windows\temp\, C:\root\.

Наявні індикатори

Ім’я файлу

Розмір файлу

Хеш-сума SHA2

zXkZu6bn.aspx 2287 71ff78f43c60a61566dac1a923557670e5e832c4adfe5efb91cac7d8386b70e0
shell.aspx 2287 ee883200fb1c58d22e6c642808d651103ae09c1cea270ab0dc4ed7761cb87368
RedirSuiteServerProxy.aspx 3349 c8a7b5ffcf23c7a334bb093dda19635ec06ca81f6196325bb2d811716c90f3c5
discover.aspx 2230 1e0803ffc283dd04279bf3351b92614325e643564ed5b4004985eb0486bf44ee
F48zhi6U.aspx 2211 d9c75da893975415663c4f334d2ad292e6001116d829863ab572c311e7edea77
discover.aspx 2204 c0caa9be0c1d825a8af029cc07207f2e2887fce4637a3d8498692d37a52b4014
Fc1b3WDP.aspx 2230 be17c38d0231ad593662f3b2c664b203e5de9446e858b7374864430e15fbf22d
UwSPMsFi.aspx 2168 d637b9a4477778a2e32a22027a86d783e1511e999993aad7dca9b7b1b62250b8
2XJHwN19.aspx 2177 31a750f8dbdd5bd608cfec4218ccb5a3842821f7d03d0cff9128ad00a691f4bd
E3MsTjP8.aspx 2353 bda1b5b349bfc15b20c3c9cbfabd7ae8473cee8d000045f78ca379a629d97a61
web.config.aspx 2241 5ac7dec465b3a532d401afe83f40d336ffc599643501a40d95aa886c436bfc0f
0q1iS7mn.aspx 2267 138f0a63c9a69b35195c49189837e899433b451f98ff72c515133d396d515659
McYhCzdb.aspx 2264 0c5fd2b5d1bfe5ffca2784541c9ce2ad3d22a9cb64d941a8439ec1b2a411f7f8
8aUco9ZK.aspx 2267 36149efb63a0100f4fb042ad179945aab1939bcbf8b337ab08b62083c38642ac
ogu7zFil.aspx 2284 508ac97ea751daebe8a99fa915144036369fc9e831697731bf57c07f32db01e8
b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944
ІР адреси

103.77.192.219

104.140.114.110

104.250.191.110

108.61.246.56

149.28.14.163

157.230.221.198

167.99.168.251

185.250.151.72

192.81.208.169

203.160.69.66

211.56.98.146

5.254.43.18

5.2.69.14

80.92.205.81

91.192.103.43

Завантажити в форматі STIX

Шкідлива активність у класифікації MITRE ATT&CK®

Джерело

Поділитися:
Share
Усі відео