Kontakt

secion GmbH (Allgeier Company) enthüllt Exchange-Hack-Aktivitäten

DeepDive Exchange Hack
Allgeier News secion GmbH (Allgeier Company) enthüllt Exchange-Hack-Aktivitäten

Detaillierte Analyse eines Cyberangriffs

Vor zwei Wochen gab Microsoft bekannt, dass es vier Sicherheitslücken im Exchange Server gibt, die aktiv ausgenutzt werden. Die Kombination dieser Lücken macht die laufende Angriffswelle deshalb so gefährlich, da sie Vollzugriff auf den betroffenen Exchange Server gewährt. Das BSI hat den Exchange Hack für Unternehmen als „IT-Bedrohungslage: 4 / Rot“ eingestuft – mehr als zu Recht. Weltweit und in der Schweiz sind diverse Firmen von diesem Hack bedroht. Das SOC Team der secion GmbH (Allgeier Company) hat die Erkenntnisse aus den Angriffsaktivitäten, die bisher noch nicht publiziert worden, zusammengefasst.

Zusammenfassung - Schadcode-Ausführung nach Exchange-Hack

Das SOC-Team hat in Rahmen mehrerer Threat Hunting-Einsätze die Angriffsaktivitäten unterschiedlicher Angreifergruppen analysiert. In diesem Bericht fasst Clemens Rambow, Lead Threat Hunter, die Auswirkungen des besonders weit verbreiteten „estonine“-Schadcodes zusammen, welcher der Gruppe DLTMiner zugeordnet wird (ACHTUNG: Es ist durchaus möglich und wahrscheinlich, dass auch andere Schadsoftware zum Einsatz kommt, da eine Vielzahl von Akteuren die Sicherheitslücken ausnutzen, um aus unterschiedlichen Motiven davon zu profitieren). Die Analysen basieren dabei teilweise auf der Vorarbeit von John Hammond (@_johnhammond, https://gist.github.com/JohnHammond), der die Verschleierungstaktiken der Schadcode-Scripte analysiert und dekodiert hat.

Dies sind die konkreten Findings des SOC-Teams

Die Codeausführungskette verläuft auf der High-Level-Ebene wie folgt:

  1. Platzierung der Chinese Chopper ASPX-Webshell via Proxy-Logon Exploit-Chain: Die Webshell ermöglicht die Ausführung von beliebigem Code mit lokalen SYSTEM-Berechtigungen. Das bedeutet, dass der Angreifer die komplette Kontrolle über das Exchange-System erhält. Ebenso haben wir Belege, dass auch andere Akteure bereits platzierte Webshells vorheriger Angreifer ebenso für ihre Zwecke nutzen.
  2. Ausführung des ersten Powershell-Scripts via Webshell:
    1. Abgerufen von hXXp://p[.]estonine[.]com/p
    2. Hinterlegt den Zeitstempel der Infektion in C:\Windows\Temp\ccc.log
    3. Nistet sich auf dem System dauerhaft als Scheduled Task mit dem Namen “Winnet” ein, der alle 45 Minuten den nachfolgenden Schadcode abruft bzw. ausführt.
  3. Download und Ausführung hXXp://cdn[.]chatcdn[.]net/p?hig oder hXXp:///cdn[.]chatcdn[.]net/p?hig
  4. Abschließend wird der Powershell-Code hinter hXXp://p[.]estonine[.]com/update.png ausgeführt- hier handelt es sich um den tatsächlich interessanten Schadsoftware-Payload!

Die Schadsoftware hinter “update.png” ist ebenso ein Powershell-Script, jedoch mit deutlich erweiterter Funktionalität und dazu mit rund 3MB erheblich grösser und aufwändiger verschleiert.

Zusammenfassend beinhaltet „update.png“ folgende Funktionalität, welche komplett automatisiert eingesetzt wird:

  • Auslesen von Passwörtern und Passworthashes via Mimikatz
  • Nachladen weiterer Powershell-Scripte
  • Netzwerkscans, um weitere Angriffsziele zu ermitteln
  • Ausbreitung via SMB, Pass-the-Hash und ETERNALBLUE
  • Mechanismen, um sich dauerhaft auf infizierten Systemen einzunisten
Gesamter Blog mit PNG-Deep Dive Analyse, Fazit und festgestellten IOC's
Zurück zur Übersicht

Sie haben Fragen oder wünschen weitere Infos dazu?

Schreiben Sie uns!

Weitere Artikel

  • Blog

Cloud Governance

Die Cloud stellt erhebliche Herausforderungen an Sicherheit, Compliance und Kostenkontrolle - besonders in hochregulierten Branchen. Hier setzt Cloud Governance an.
Weiterlesen
  • Blog

5 Erfolgsfaktoren für eine erfolgreiche Cloud-Migration

Die Cloud ist heute weit mehr als nur ein Trend – sie ist ein zentraler Bestandteil moderner IT-Strategien. Doch wie gelingt der Wechsel in die Cloud?
Weiterlesen
  • Blog

Security Awareness

Cyberangriffe werden immer ausgeklügelter. Technik und menschliches Handeln müssen daher zusammenwirken - da beginnt Security Awareness.
Weiterlesen
  • News

Strategische Fusion: Allgeier (Schweiz) AG und MySign AG bündeln maximale Kundenvorteile

Zum 01.01.2025 fusioniert Allgeier mit der MySign AG und erweitert das Portfolio in Richtung E-Commerce. Damit bietet Allgeier digitale Lösungen und Services entlang der gesamten Wertschöpfungskette.
Weiterlesen
KaDeWe
  • Blog

The KaDeWe Group: Per Express in eine sichere IT

Ende 2023 sah sich die The KaDeWe Group mit einem bedeutenden Cyberangriff konfrontiert: Die Folgen waren schwerwiegend. Sämtliche Server des Unternehmens waren offline, die Kassen in den Stores konnten nur noch Barzahlung annehmen.
Weiterlesen
Prompts
  • Blog

Wie die richtigen Prompts den Büroalltag transformieren

Mehr Effizienz durch clevere Prompts und Max! Erfahren Sie, wie Sie smarter arbeiten und Routineaufgaben vereinfachen.
Weiterlesen
  • Blog

Max – Das neue Level im Kundenservice

Max – Wie die smarte KI-Lösung den Kundenservice bei einem Schweizer Maschinenbauunternehmen bereits verbessern konnte.
Weiterlesen
  • Blog

Thommen Group und ihr BI-Erfolgsweg

Die Thommen Group stand vor der Herausforderung, eine moderne, flexible und zukunftssichere Analytics-Lösung zu implementieren, die vom internen IT-Team gepflegt und erweitert werden kann und die gegenüber der jetzigen Lösung Kosten spart und die Abhängigkeit von externen Dienstleistern für Support minimiert.
Weiterlesen
Instagram Linkedin Envelope Youtube

Follow us

Kontakt

Newsletter