Microsoft Exchange Serverを標的とした最近の攻撃の捜索

This post is also available in: English (英語)

概要

2021年3月2日、VolexityがMicrosoft Exchange Serverの4つの脆弱性、CVE-2021-26855CVE-2021-26857CVE-2021-26858CVE-2021-27065について悪用が活発に見られると報告しました。これらの脆弱性が悪用された場合、攻撃者は、Microsoft Exchange Serverにアクセスし、被害環境への長期アクセスを容易にする追加ツールをインストールできるようになります。これらゼロデイ脆弱性を利用する脅威アクターは複数存在するとした報告もあることから、ポストエクスプロイトアクティビティは脅威アクターの目的しだいで変わってくる可能性があります。

これらの脆弱性は、次のバージョンのMicrosoft Exchange Serverに影響します。

  • Microsoft Exchange 2013
  • Microsoft Exchange 2016
  • Microsoft Exchange 2019

Microsoftは緊急の定例外セキュリティ更新を公開し、これらの脆弱性に対する修正を提供しています。弊社は、すべてのMicrosoft Exchange Serverを、Microsoftがリリースした最新の修正を適用したバージョンにただちに更新することを強く推奨します。

このブログは、Cortex XDRを使用して、関連する侵害の痕跡(IOC)をプロアクティブに検索するのに役立ちます。

自社環境内でこの攻撃をハンティングするには

侵害の兆候がないか既存のアラートを確認する

Cortex XDRの既存のアラートを利用してIISプロセス w3wp.exe と Exchange ワーカープロセス UMWorkerProcess.exe からのアラートがあがっていないか探すことをお勧めします。

Cortex XDR 図1

そこから、Causality View にピボットしてさらにドリルダウンしていけます。

Cortex XDR 図2 ドリルダウン

Cortex XDR で XQL Searchを使って攻撃を探索する:

China Chopper Webシェルには、 [s]&cd&echo [e]  を使用する非常に明確なコマンドラインパターンがあります。これらのパターンは、次のクエリで検索できます。

Cortex XDR 図3 探索

Microsoft Internet Information Server(IIS)が ASPXファイルを Exchange や一般的な IIS のロード場所にドロップしている形跡があれば、それは Web シェルがドロップされているという兆候と考えてよいでしょう。

IIS プロセスから探索用のコマンドを実行していれば、それは攻撃者がその環境を探ろうとしていることを示す兆候だと考えてさしつかえないでしょう。そうしたアクティビティがないかどうかを以下のクエリで探します。

攻撃者は圧縮とメモリダンプを行い、C:\programdata をステージング場所として漏出と資格情報アクセスのステージングを行います。以下のクエリを使い、そうしたアクティビティを実行しているサーバーを探します。

Exchange ワーカープロセスは通常はサブプロセスを作成しませんが、エクスプロイトのなかにはこのプロセスをターゲットにしているものが1つあります。次の Cortex XDR XQLクエリがそうした場合の探索に役立ちます。

Cortex XSOAR でハンティングとレスポンスを行う

Cortex XSOAR は「HAFNIUM – Exchange 0-day exploits」というプレイブックを公開しました。このプレイブックは弊社Cortex XSOAR MarketplaceのRapid Breach Responseコンテンツパック内にあります。完全に自動化されたプレイブックは、以下を実行します。

  • 脅威ハンティングプロセスで使用する指標の収集
  • ファイアウォールログにクエリをかけて悪意のあるネットワークアクティビティを検出
  • エンドポイントログで悪意のあるアクティビティを検索し侵害ホストを検出、Cortex XDRが有効になっていればプレイブックで上記で説明したアラートも検索
  • さまざまなサードパーティツールのインジケータを遮断
    Cortex XSOAR 図 4 プレイブック

この攻撃を検出するCortex XDRのアラート

ソース 説明
Cortex XDR Analytics BIOC Uncommon net group execution(通常と異なる net group コマンドの実行)
Cortex XDR Analytics Multiple Discovery Commands(探索用コマンドの複数回の実行)
Cortex XDR BIOC Exchange process writing aspx files(aspxファイルを書き込むExchangeプロセス)
Cortex XDR Agent Behavioral Threat Detected(振る舞いによる脅威を検出)
Cortex XDR Agent Suspicious Process Creation(疑わしいプロセスの生成)
Cortex XDR Analytics BIOC Uncommon remote service start via sc.exe(通常と異なるsc.exe経由でのリモートサービス開始)
Cortex XDR Analytics BIOC Rare SSH Session(通常は見られないSSHセッション)
Cortex XDR Analytics BIOC Uncommon ARP cache listing via arp.exe(通常見られないようなarp.exe経由のARPキャッシュのリスト化)
Cortex XDR Analytics BIOC Uncommon user management via net.exe(通常見られないようなnet.exe経由のユーザー管理)
Cortex XDR Analytics BIOC WmiPrvSe.exe Rare Child Command Line(まれなWmiPrvSe.exeの子コマンドライン)
Cortex XDR Analytics BIOC Script Connecting to Rare External Host(まれな外部ホストに接続するスクリプト)
Cortex XDR BIOC Remote process execution using WMI(WMIを使用したリモートプロセス実行)
Cortex XDR BIOC 64-bit PowerShell spawning a 32-bit PowerShell(32ビットPowerShellを生成する64ビットPowerShell)
Cortex XDR BIOC Suspicious PowerShell Command Line(疑わしいPowerShellコマンドライン)
Cortex XDR BIOC Dumping Registry hives with passwords(パスワードを含むレジストリハイブのダンプ)

観測されたアクティビティ

攻撃者が次のパスでWebシェルファイルを作成する様子が観測されています。

C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServerProxy.aspx

C:\inetpub\wwwroot\aspnet_client\system_web\r1BMaJKT.aspx

C:\inetpub\wwwroot\aspnet_client\system_web\[RANDOM].aspx

C:\inetpub\wwwroot\aspnet_client\supp0rt.aspx

C:\inetpub\wwwroot\aspnet_client\discover.aspx

また、攻撃者が次のコマンドを実行する様子も観測されています。

"cmd" /c cd /d "C:\\inetpub\\wwwroot\\aspnet_client\\system_web"&net group "Exchange Organization administrators" administrator /del /domain&echo [S]&cd&echo [E]

wmic  /node:$NODE$ /user:$USER$ /password:$PASSWORD$ process call create "powershell -exec bypass -file c:\programdata\payloadDns.ps1"

"cmd.exe" /c powershell -exec bypass -file c:\programdata\bot.ps1

net  group "Exchange Servers" /DOMAIN

cmd  /c start c:\windows\temp\xx.bat

net  group "Exchange Organization Administrators" /domain

dsquery  server -limit 0

net  group [REDUCATED] /domain

"cmd" /c cd /d "C:\\inetpub\\wwwroot\\aspnet_client\\system_web"&arp -a&echo [S]&cd&echo [E]

net  use \\[REDUCATED] [PASSWORD] /user:[USER]

powershell.exe  -PSconsoleFile "C:\Program Files\Microsoft\Exchange Server\V15\Bin\exshell.psc1" -Command ".’C:\windows\help\help\1.ps1′"

nltest  /domain_trusts

"cmd" /c cd /d "C:\\inetpub\\wwwroot\\aspnet_client\\system_web"&wmic process call create "reg save hklm\sam c:\programdata\$FILE_NAME$.log &echo [S]&cd&echo [E]

結論

これらのゼロデイ脆弱性を悪用し、脆弱なMicrosoft Exchange Serverに対する脅威アクターの警戒すべきアクティビティが見られます。このため弊社は、すべてのMicrosoft Exchange ServerをMicrosoftがリリースした最新の修正を適用したバージョンにただちに更新することを強く推奨します。

これにくわえ、製品のバージョン、コンテンツのバージョンを最新のものに更新し、製品組み込みの既存保護メカニズムとこちらで提供したXQLクエリを使って脅威を探索することをお勧めします。

Unit42による脅威の評価は、こちらからお読みいただけます。

testtest12