leh_a (leh_a) wrote,
leh_a
leh_a

Category:

Результаты работы Test-ProxyLogon.ps1


Untitled-2


Читаем статью на Хабре про 0-day уязвимость Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Ставим заплаточку KB5000871.
В качестве развития кругозора запускаем скрипт от MS для детектирования попыток взлома Test-ProxyLogon.ps1.
Инструкция по запуску:
Для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системный администратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:.\Test-ProxyLogon.ps1.

Смотрим в вывод скрипта и задаемся вопросом: что же это значит? Читаем статью от исследователей безопасности rapid7.com с их трактовкой событий.



Технический анализ деятельности злоумышленников при атаке Exchange в марте 2021 года

Сканирование для обнаружения уязвимых серверов Exchange со следующих IP-адресов DigitalOcean:

165.232.154.116
157.230.221.198
161.35.45.41

Анализ журналов Internet Information Services (IIS) показывает, что затем выполняется запрос POST со сканирующего IP-адреса на несколько путей и файлов:

/ecp/y.js
/rpc/
/owa/auth/signon.aspx
/aspnet_client/system_web/<случайное_имя >.aspx
Путь IIS ex: /aspnet_client/system_web/TInpB9PE.aspx

В некоторых случаях дополнительные библиотеки динамической компоновки (DLL) и скомпилированные файлы aspx создаются вскоре после первого взаимодействия с веб-оболочками через запросы POST в следующих местах:

C:\Windows\Microsoft.NET\Framework64\<версия>\Временные файлы ASP.NET\root\
C:\Windows\Microsoft.NET\Framework64\<версия>\Временные файлы ASP.NET\owa\

3. Далее выполняется команда, пытающаяся удалить «Администратора» из группы «Администраторы организации Exchange»:

cmd / c cd / d C: \\inetpub\\wwwroot\\aspnet_client\\system_web&net группа «Администраторы организации Exchange» администратор /del/domain & echo [S] & cd & echo [E]

4. После выполнения команды и успешной загрузки веб-оболочки взаимодействие с веб-оболочкой начнется с другого IP-адреса.

Мы отслеживали взаимодействие с 45.77.252 [.] 175

5. После запроса POST над активом выполняется несколько команд:

а. Дамп Lsass.exe с использованием procdump64.exe и C:\Temp\update.exe
(MD5: f557a178550733c229f1087f2396f782 ):

cmd / c cd / d C: \\ root & procdump64.exe -accepteula -ma lsass.exe lsass.dmp & echo [S] & cd & echo [E]

б. Команды разведки:

whoami.exe
ping.exe
tasklist.exe
quser.exe
query.exe

Индикаторы компрометации

Тип Значение
ip 165.232.154.116
ip 157.230.221.198
ip 161.35.45.41
ip 45.77.252.175
ip 104.248.49 [.] 97
ip, который взаимодействует с загруженными веб-оболочками 194,87,69 [.] 35
URL /ecp/y.js
URL /ecp/DDI/DDIService.svc/GetList
URL /ecp/DDI/DDIService.svc/SetObject
URL /owa/auth/errorEE.aspx
URL /owa/auth/logon.aspx
URL /owa/auth/errorFE.aspx
URL /aspnet_client/aa.aspx
URL /aspnet_client/iis
URL /iistart.aaa
URL /owa/iistart.aaa
Пользовательский агент python-запросы / 2.25.1
Пользовательский агент antSword / v2.1

upd-01.
Технические подробности от MS в их блоге.

upd-02.
Скрипт проверки и латания уязвимости от MS.
Tags: tech support
Subscribe

Posts from This Journal “tech support” Tag

  • Jabra PanaCast 20

    Рассылкой от русской Жабры принесло. Решения для новой реальности: Jabra PanaCast 50, PanaCast 20 и PanaCast Компании по всему миру…

  • Dell Latitude не грузится с флешки

    Приехал в офис новый ноут Dell Latitude 7410. Комплектация с Ubunta. Нужно поставить Windows 10. Пишем оригинальный ISO на флешку с помощью rufus.…

  • Обратная связь при увольнении

    Спасибо за опыт, но я, пожалуй, продолжу карьеру в более гетеросексуальной компании. Конференция от Linkme Up. Из выступления не про ИТ.

  • Свежий способ окирпичить все ифоны в округе. Почти.

    Топаем к своей точке доступа. Поднимаем сеть с названием как на картинке. Наблюдаем жжение у находящихся в округе владельцев Iphone. Лечится либо…

  • Госуслуги прилегли

    Вражеские интернет-ресурсы сообщают: прилегли госуслуги. Входящий пользователь наблюдает картинкку и сообщение: "Госуслуги: более 500 000…

  • В приложении Google снова произошел сбой.

    Утром 22 июня некоторые пользователи телефонов на Android увидели ошибку "В приложении Google снова произошел сбой". Окно появляется раз…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic
  • 0 comments