Newsroom

DeepDive Exchange Hack

secion GmbH (Allgeier Company) deckt Exchange Hack Aktivitäten detailliert auf

Exklusive Erkenntnisse zum Exchange Hack

Vor zwei Wochen gab Microsoft bekannt, dass es vier Sicherheitslücken im Exchange Server gibt, die aktiv ausgenutzt werden. Die Kombination dieser Lücken macht die laufende Angriffswelle deshalb so gefährlich, da sie Vollzugriff auf den betroffenen Exchange Server gewährt. Das BSI hat den Exchange Hack für Unternehmen als „IT-Bedrohungslage: 4 / Rot“ eingestuft – mehr als zu Recht. 

Weltweit und in der Schweiz sind diverse Firmen von diesem Hack bedroht.

Das SOC Team der secion GmbH (Allgeier Company) hat die Erkenntnisse aus den Angriffsaktivitäten, die bisher noch nicht publiziert worden, zusammengefasst. 

Zusammenfassung - So läuft die Schadcode-Ausführung nach Ausnutzung der Exchange-Sicherheitslücken

Das SOC-Team hat in Rahmen mehrerer Threat Hunting-Einsätze die Angriffsaktivitäten unterschiedlicher Angreifergruppen analysiert. In diesem Bericht fasst Clemens Rambow, Lead Threat Hunter, die Auswirkungen des besonders weit verbreiteten „estonine“-Schadcodes zusammen, welcher der Gruppe DLTMiner zugeordnet wird (ACHTUNG: Es ist durchaus möglich und wahrscheinlich, dass auch andere Schadsoftware zum Einsatz kommt, da eine Vielzahl von Akteuren die Sicherheitslücken ausnutzen, um aus unterschiedlichen Motiven davon zu profitieren). Die Analysen basieren dabei teilweise auf der Vorarbeit von John Hammond (@_johnhammond, https://gist.github.com/JohnHammond), der die Verschleierungstaktiken der Schadcode-Scripte analysiert und dekodiert hat.

Dies sind die konkreten Findings des SOC-Teams

Die Codeausführungskette verläuft auf der High-Level-Ebene wie folgt:

  1. Platzierung der Chinese Chopper ASPX-Webshell via Proxy-Logon Exploit-Chain: Die Webshell ermöglicht die Ausführung von beliebigem Code mit lokalen SYSTEM-Berechtigungen. Das bedeutet, dass der Angreifer die komplette Kontrolle über das Exchange-System erhält. Ebenso haben wir Belege, dass auch andere Akteure bereits platzierte Webshells vorheriger Angreifer ebenso für ihre Zwecke nutzen.
  2. Ausführung des ersten Powershell-Scripts via Webshell:
    1. Abgerufen von hXXp://p[.]estonine[.]com/p
    2. Hinterlegt den Zeitstempel der Infektion in C:\Windows\Temp\ccc.log
    3. Nistet sich auf dem System dauerhaft als Scheduled Task mit dem Namen “Winnet” ein, der alle 45 Minuten den nachfolgenden Schadcode abruft bzw. ausführt.
  3. Download und Ausführung hXXp://cdn[.]chatcdn[.]net/p?hig oder hXXp:///cdn[.]chatcdn[.]net/p?hig
  4. Abschließend wird der Powershell-Code hinter hXXp://p[.]estonine[.]com/update.png ausgeführt- hier handelt es sich um den tatsächlich interessanten Schadsoftware-Payload!

Die Schadsoftware hinter “update.png” ist ebenso ein Powershell-Script, jedoch mit deutlich erweiterter Funktionalität und dazu mit rund 3MB erheblich grösser und aufwändiger verschleiert.

Zusammenfassend beinhaltet „update.png“ folgende Funktionalität, welche komplett automatisiert eingesetzt wird:

  • Auslesen von Passwörtern und Passworthashes via Mimikatz
  • Nachladen weiterer Powershell-Scripte
  • Netzwerkscans, um weitere Angriffsziele zu ermitteln
  • Ausbreitung via SMB, Pass-the-Hash und ETERNALBLUE
  • Mechanismen, um sich dauerhaft auf infizierten Systemen einzunisten
Gesamter Blog mit PNG-Deep Dive Analyse, Fazit und festgestellten IOC's
Mirko Maurer

Head Sales & Marketing

Linkedin
Kontakt
Zurück zur News Übersicht
© Copyright Allgeier (Schweiz) AG
Linkedin Twitter Envelope Youtube
Ihr Fokus
Unsere Expertise
Events & Workshops
Unternehmen
Linkedin Twitter Youtube Facebook
Allgeier - Empowering You