交易所漏洞 2021

介紹

在過去的幾天裡，有很多關于 Microsoft Exchange Server 中幾個關鍵零日漏洞的新聞報道，這些漏洞正在根據以下 CVE 進行跟蹤：

• CVE-2021-26855
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

不幸的是，我們最近發現瑞士有數百個組織受到利用上述漏洞的威脅行為者的攻擊。雖然微軟将最初的、在野外觀察到的妥協歸因于一個名為 HAFNIUM 的中國國家支援的組織，但自微軟釋出更新檔以來，其他幾個威脅行為者很快就掌握了這一漏洞。是以，我們已開始根據受信任的第三方提供給我們的資訊通知可能受到攻擊的組織。

自 Microsoft 釋出安全更新以來，感染已變得更加普遍。我們已認證 Twitter（3 月 2 日）、NCSC 首頁和我們封閉的社群平台向公衆發出警告。與此同時，我們獲悉瑞士有幾台遭到入侵的 Exchange 伺服器。請注意，此漏洞不僅會影響向 Internet 公開 OWA（Outlook Web Access）的 Exchange 伺服器，還會影響使用 https（例如 ActiveSync 或統一消息、脫機通訊簿 (OAB) 和其他服務）公開其他元件的伺服器。

我們有證據表明，該漏洞在 Microsoft 于 2021 年 3 月 2 日釋出初始公告後很快就被利用，甚至可能在短短幾個小時内就被利用。目前，我們仍在接收和發送有關瑞士漏洞和可能受感染組織的資訊。如果您從 NCSC 收到此類資訊，或者如果您想確定您沒有受到損害，我們建議您遵循以下提到的程式。如果您不确定自己是否具備内部技術知識，我們強烈建議您向提供事件響應的專業公司尋求支援。

確定您已打更新檔

确定您的伺服器是否仍然易受攻擊或它們是否已成功修補。Microsoft在此處提供修補指南以及生命周期結束 (EOL) 産品的修補程式。請注意，盡管EOL更新檔微軟提供的Exchange 2007，2010，這些版本EOL和應該遷移到支援的版本盡快地。

請注意，在妥協後打更新檔是不夠的，系統必須從頭開始重建。如果這在短期内無法實作，那麼Microsoft 的緩解工具可以對 Exchange 漏洞應用臨時緩解措施并删除一些攻擊者工件。

尋找法醫文物

檢測是否存在 webshel​​l。有幾個地方不應該存在 .aspx 或者隻有很少的地方由 Exchange Server 本身提供：
\inetpub\wwwroot\aspnet_client\ (any .aspx file under this folder or sub folders) \<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (TimeoutLogoff.aspx is legit) \<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (newer files (e.g. after 2nd of March 2021 that do not belong to the installation)) \<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\ (should not contain .aspx files) \<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\ (should not contain .aspx files)
微軟提供了一個目前已知的webshel​​l 被删除位置的清單。
您還可以使用 YARA 掃描 webshel​​l 的存在，例如通過 Nextron Systems 提供的免費Loki Scanner或使用Volexity提供的 YARA 規則           

複制

• 搜尋其他驗證文物：
  • 在釋出日期（可能提前 14 天開始）和現在駐留在 Exchange Server Web 根目錄之間的時間範圍内寫入的所有檔案。
  • 由 C:\Windows\System32\inetsrv\w3wp.exe 啟動的子程序，例如 cmd.exe
  • 由 w3wp.exe 或 UMWorkerProcess.exe 編寫的檔案。
  • 同樣有希望的是搜尋已知被這些攻擊者團體使用的以下工具（但這些工具可能已被他們的團隊合法使用 - 特别是在 psexec 的情況下）：
    • 來自 SysInternals Tool Suite 的 psexec 和 procdump。
    • WinRAR 用于竊取被盜資料
    • Powershell 腳本
    • ASPx 和 PHP webshel​​l。但是，一般而言，您可以檢視在該時間段内上傳了哪些檔案并進行檢查。
    • 來自 Nishang Tool Suite Github 的工具
    • Powercat - Powershell 中的網絡貓：Github
  • 搜尋新建立的具有高權限的使用者帳戶
  • 使用 Powershell CmdLet 搜尋郵箱通路（例如 New-MailboxExportRequest）

已知的 Webshel​​l SHA256 哈希值：
b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944           

複制

分析您的日志檔案

一個好的方法是檢查來自 Exchange IIS 的日志。通常攻擊者不會僞裝使用者代理，是以新使用者代理或指向腳本的使用者代理可能是一個很好的名額。

• 搜尋不尋常的使用者代理或僅在安全公告釋出後出現的使用者代理。Volexity 提供了在執行 POST 請求的這些攻擊期間使用的已知使用者代理清單。請注意，這些使用者代理中的大多數也可以是合法的，是以将搜尋與對可疑 URL 的 POST 請求結合起來
• 在您的日志檔案中搜尋在安全公告釋出之前從未被通路過的 .aspx 檔案。
• 搜尋對您在搜尋驗證人工制品期間找到的檔案的請求。這可能會給你一個提示，如果在最初的妥協後有攻擊者的活動
• 在沒有 Referer 的情況下搜尋 POST 請求。
• 仔細檢視您的 AD 日志并搜尋橫向移動的迹象
• 檢視您的 AV 日志中是否有可疑條目，例如阻止 Mimikatz 或其他攻擊工具
• 搜尋和監視源自交換伺服器的出站連接配接。
• 搜尋參考，例如下面提到的字元串或其變體：

  S:CMD=Set-OabVirtualDirectory.ExternalUrl='

• 已知在這些攻擊中使用了以下 URL：

  hXXp://p.estonine[.]com/p?e hXXp://cdn.chatcdn.net/p?low

  兩個域都托管在同一個 IP 位址 (188.166.162[.]201) 上，我們建議将與駐留在該 IP 位址上的域的任何連接配接視為可疑。

攻擊者曾多次使用以下 IP 位址之一。請注意，IP 位址可能會導緻誤報。
103.77.192[.]219 104.140.114[.]110 104.248.49[.]97 104.250.191[.]110 108.61.246[.]56 112.66.255[.]71 139.59.56[.]239 149.28.14[.]163 157.230.221[.]198 161.35.1[.]207 161.35.1[.]225 161.35.45[.]41 161.35.51[.]41 161.35.76[.]1 165.232.154[.]116 167.99.168[.]251 167.99.239[.]29 182.18.152[.]105 185.250.151[.]72 188.166.162[.]201 192.81.208[.]169 203.160.69[.]66 211.56.98[.]146 45.77.252[.]175 5.2.69[.]14 5.254.43[.]18 77.61.36[.]169 80.92.205[.]81 86.105.18[.]116 89.34.111[.]11 91.192.103[.]43           

複制

一般建議

我們建議采取以下安全預防措施，以更好地保護您的 Exchange Server 基礎結構：

• 不要将 Exchange 直接暴露給 Internet。在它前面有一個 WAF 和/或在 Exchange 伺服器前面使用 SMTP 過濾代理
• 擁有一個緊急修補程式，讓您可以在很短的時間範圍内（數小時）修補您的基礎設施，尤其是直接暴露在 Internet 上的元素。
• 密切監視所有 Exchange Server 日志檔案，将它們收集在 SIEM 中并查找異常模式
• 始終為使用者身份驗證部署第二個因素
• 使用專用管理網絡以高權限通路 Exchange Server
• 集中記錄所有 AD 日志并定期對其進行分析
• 使用 EDR 工具（端點檢測和響應）提高端點的可見性