leh_a (leh_a) wrote,
leh_a
leh_a

Category:

Результаты работы Test-ProxyLogon.ps1


Untitled-2


Читаем статью на Хабре про 0-day уязвимость Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Ставим заплаточку KB5000871.
В качестве развития кругозора запускаем скрипт от MS для детектирования попыток взлома Test-ProxyLogon.ps1.
Инструкция по запуску:
Для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системный администратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:.\Test-ProxyLogon.ps1.

Смотрим в вывод скрипта и задаемся вопросом: что же это значит? Читаем статью от исследователей безопасности rapid7.com с их трактовкой событий.



Технический анализ деятельности злоумышленников при атаке Exchange в марте 2021 года

Сканирование для обнаружения уязвимых серверов Exchange со следующих IP-адресов DigitalOcean:

165.232.154.116
157.230.221.198
161.35.45.41

Анализ журналов Internet Information Services (IIS) показывает, что затем выполняется запрос POST со сканирующего IP-адреса на несколько путей и файлов:

/ecp/y.js
/rpc/
/owa/auth/signon.aspx
/aspnet_client/system_web/<случайное_имя >.aspx
Путь IIS ex: /aspnet_client/system_web/TInpB9PE.aspx

В некоторых случаях дополнительные библиотеки динамической компоновки (DLL) и скомпилированные файлы aspx создаются вскоре после первого взаимодействия с веб-оболочками через запросы POST в следующих местах:

C:\Windows\Microsoft.NET\Framework64\<версия>\Временные файлы ASP.NET\root\
C:\Windows\Microsoft.NET\Framework64\<версия>\Временные файлы ASP.NET\owa\

3. Далее выполняется команда, пытающаяся удалить «Администратора» из группы «Администраторы организации Exchange»:

cmd / c cd / d C: \\inetpub\\wwwroot\\aspnet_client\\system_web&net группа «Администраторы организации Exchange» администратор /del/domain & echo [S] & cd & echo [E]

4. После выполнения команды и успешной загрузки веб-оболочки взаимодействие с веб-оболочкой начнется с другого IP-адреса.

Мы отслеживали взаимодействие с 45.77.252 [.] 175

5. После запроса POST над активом выполняется несколько команд:

а. Дамп Lsass.exe с использованием procdump64.exe и C:\Temp\update.exe
(MD5: f557a178550733c229f1087f2396f782 ):

cmd / c cd / d C: \\ root & procdump64.exe -accepteula -ma lsass.exe lsass.dmp & echo [S] & cd & echo [E]

б. Команды разведки:

whoami.exe
ping.exe
tasklist.exe
quser.exe
query.exe

Индикаторы компрометации

Тип Значение
ip 165.232.154.116
ip 157.230.221.198
ip 161.35.45.41
ip 45.77.252.175
ip 104.248.49 [.] 97
ip, который взаимодействует с загруженными веб-оболочками 194,87,69 [.] 35
URL /ecp/y.js
URL /ecp/DDI/DDIService.svc/GetList
URL /ecp/DDI/DDIService.svc/SetObject
URL /owa/auth/errorEE.aspx
URL /owa/auth/logon.aspx
URL /owa/auth/errorFE.aspx
URL /aspnet_client/aa.aspx
URL /aspnet_client/iis
URL /iistart.aaa
URL /owa/iistart.aaa
Пользовательский агент python-запросы / 2.25.1
Пользовательский агент antSword / v2.1

upd-01.
Технические подробности от MS в их блоге.

upd-02.
Скрипт проверки и латания уязвимости от MS.
Tags: tech support
Subscribe

Posts from This Journal “tech support” Tag

  • Отдал в хорошие руки

    В воскресенье позвонил человек по авитовскому объявлению. В понедельник доставил хорошему человеку прям на работу коробочки. OS/2 Warp v3 - в…

  • Ростелеком, это нормально?

    Ничего не предвещало беды. Бизнес потребовал площадку под одностраничный сайт на Wordpress. Создал площадку, накатил WP, поставил обновления до…

  • Год назад примерно в эти числа дурдом с карантином начинался.

    Полным ходом шла предэтапная движуха F1 в Мельбурне. Была надежда на то что 15 марта начнётся сезон 2020... А вон оно как всё вышло.

  • OpenVPN client не подключается к Mikrotik

    В конце 2020 года появился косячок. Вновь скачанный с сайта производителя Open VPN client 2.5 не соединяется с сервером на Mikrotik. В логах…

  • Не работает фон в Zoom.

    Как всегда, ничего не предвещало беды. Застучал вентилятор на какой то старой Ati-шке, поехал в лабаз и купил ATI RX 460. Запихнул внутрь машины и…

  • Как правильно готовить 1с.

    Дополнение к посту про настройку сервера базы данных для 1с. На хабре статья. Нового ничего нет, это если прочитал толстый учебник…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic
  • 0 comments