Неуязвимых программ не бывает — эта истина известна каждому. Но когда злоумышленники отыскивают в каком‑нибудь софте уязвимости нулевого дня, начинается веселье: и для пользователей, и для разработчиков, которым приходится в авральном режиме заделывать обнаруженные бреши. А если это происходит с очень популярным и широко распространенным ПО, веселье начинает приобретать оттенки драмы. Именно это и случилось с Microsoft Exchange Server в январе 2021 года.
Одной из первых о проблемах в Exchange сообщила компания FireEye. По информации вендора, от деятельности хакеров пострадало множество американских коммерческих фирм, несколько местных органов власти в разных штатах, а также один из университетов и даже неназванный исследовательский центр. Киберпреступники заливали на взломанные серверы Exchange веб‑шеллы с целью неавторизованного доступа, удаленно выполняли код и отключали работающие в системе средства безопасности.
Вскоре в Microsoft подтвердили наличие проблемы и сообщили, что злодеи используют в своих злодейских целях как минимум четыре ранее неизвестные уязвимости нулевого дня. Для устранения которых всем пользователям Exchange Server нужно срочно установить выпущенные ими патчи. Однако всем известно, что накатывание обновлений — дело небыстрое, требующее значительных запасов пива временных затрат, и потому хакеры продолжали резвиться на взломанных серверах в течение еще нескольких месяцев. Атаки на Exchange понемногу пошли на спад только к концу нынешнего марта. В чем же заключались эти уязвимости и как их использовали в своих целях злоумышленники? Давай разберемся.
По сообщениям аналитиков из FireEye, хакеры использовали несколько векторов атаки. Все файлы на серверах Exchange создавались ими от имени системной учетной записи NT AUTHORITYSYSTEM, имеющей в Windows повышенные привилегии, а веб‑шеллы запускались процессом единой службы обмена сообщениями Microsoft Exchange UMWorkerProcess.exe. Родителем обнаруженных исследователями на скомпрометированных серверах вредоносных файлов оказался процесс w3wp.exe, отвечающий за веб‑интерфейс Exchange Server. Исследователи из Microsoft пришли к выводу, что за всеми этими инцидентами стоит некая хакерская группа под названием HAFNIUM, которая раньше уже была замечена в атаках на американские оборонные предприятия, юридические фирмы, аналитические центры и лаборатории по исследованию инфекционных заболеваний. Предполагают, что эта группа связана с правительством Китая, но стопроцентных доказательств этому, разумеется, нет.
История началась в январе 2021 года, когда разработанная FireEye служба Mandiant Managed Defense обнаружила на одном из серверов Microsoft Exchange подозрительный веб‑шелл. Скрипт с незатейливым именем help.aspx пытался отыскать на сервере инструменты обеспечения безопасности FireEye xAgent, CarbonBlack и CrowdStrike Falcon и сохранял в журнал результат своей работы.
Шелл был запущен процессом UMWorkerProcess.exe, который связан со службой единой системы обмена сообщениями Microsoft Exchange Server. Для этих целей злоумышленники воспользовались уязвимостью CVE-2021-26858, которую в Microsoft отнесли к категории средней степени риска.
Спустя примерно двадцать дней хакеры совершили новое злодеяние, залив на сервер другой веб‑шелл с именем iisstart.aspx. Этот скрипт был обфусцирован и обладал более широким набором функций: он позволял выполнять произвольные команды, а также просматривать содержимое, удалять, загружать на сервер и запускать файлы по желанию атакующих. Добиться желаемого хакерам удалось с использованием уязвимостей Microsoft Exchange Server.
Вскоре аналитики FireEye обратили внимание еще на один инцидент с запуском на сервере Exchange вредоносного веб‑шелла. На сей раз связанный с веб‑интерфейсом Internet Information Server процесс w3wp.exe запустил командную строку (cmd.exe), а с помощью ее злоумышленники, в свою очередь, сохранили на диск некий файл. Эти файлом оказался небезызвестный инструмент China Chopper Web Shell, которым давно и успешно пользуются китайские хакеры. Небольшой файлик весом всего лишь 4 Кбайт открывает взломщикам доступ к файловой системе и базам данных скомпрометированного сервера. По большому счету он представляет собой компактный бэкдор, которым можно удаленно управлять с помощью простой утилиты с интуитивно понятным графическим интерфейсом.
Кроме того, исследователи установили, что в обоих этих случаях атакующие удаляли пользователя administrator из группы Exchange Organization administrators контроллера домена, к которому принадлежал атакованный сервер. Делалось это при помощи команды net group "Exchange Organization administrators" administrator /del /domain. Если Exchange Server был развернут в одноранговой сети без подключения к AD, команда выполнялась локально.
Выяснилось, что после успешного взлома хакеры использовали следующие виды постэксплуатации:
Всю добытую информацию злодеи упаковывали с помощью архиватора 7zip и благополучно скачивали со взломанных узлов. Иными словами, на начальном этапе основной целью атакующих был сбор информации на скомпрометированных серверах и хищение конфиденциальной пользовательской информации.
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
1 год9300 р. |
1 месяц870 р. |
Я уже участник «Xakep.ru»
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|