leh_a (leh_a) wrote,
leh_a
leh_a

Category:

Результаты работы Test-ProxyLogon.ps1


Untitled-2


Читаем статью на Хабре про 0-day уязвимость Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Ставим заплаточку KB5000871.
В качестве развития кругозора запускаем скрипт от MS для детектирования попыток взлома Test-ProxyLogon.ps1.
Инструкция по запуску:
Для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системный администратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:.\Test-ProxyLogon.ps1.

Смотрим в вывод скрипта и задаемся вопросом: что же это значит? Читаем статью от исследователей безопасности rapid7.com с их трактовкой событий.



Технический анализ деятельности злоумышленников при атаке Exchange в марте 2021 года

Сканирование для обнаружения уязвимых серверов Exchange со следующих IP-адресов DigitalOcean:

165.232.154.116
157.230.221.198
161.35.45.41

Анализ журналов Internet Information Services (IIS) показывает, что затем выполняется запрос POST со сканирующего IP-адреса на несколько путей и файлов:

/ecp/y.js
/rpc/
/owa/auth/signon.aspx
/aspnet_client/system_web/<случайное_имя >.aspx
Путь IIS ex: /aspnet_client/system_web/TInpB9PE.aspx

В некоторых случаях дополнительные библиотеки динамической компоновки (DLL) и скомпилированные файлы aspx создаются вскоре после первого взаимодействия с веб-оболочками через запросы POST в следующих местах:

C:\Windows\Microsoft.NET\Framework64\<версия>\Временные файлы ASP.NET\root\
C:\Windows\Microsoft.NET\Framework64\<версия>\Временные файлы ASP.NET\owa\

3. Далее выполняется команда, пытающаяся удалить «Администратора» из группы «Администраторы организации Exchange»:

cmd / c cd / d C: \\inetpub\\wwwroot\\aspnet_client\\system_web&net группа «Администраторы организации Exchange» администратор /del/domain & echo [S] & cd & echo [E]

4. После выполнения команды и успешной загрузки веб-оболочки взаимодействие с веб-оболочкой начнется с другого IP-адреса.

Мы отслеживали взаимодействие с 45.77.252 [.] 175

5. После запроса POST над активом выполняется несколько команд:

а. Дамп Lsass.exe с использованием procdump64.exe и C:\Temp\update.exe
(MD5: f557a178550733c229f1087f2396f782 ):

cmd / c cd / d C: \\ root & procdump64.exe -accepteula -ma lsass.exe lsass.dmp & echo [S] & cd & echo [E]

б. Команды разведки:

whoami.exe
ping.exe
tasklist.exe
quser.exe
query.exe

Индикаторы компрометации

Тип Значение
ip 165.232.154.116
ip 157.230.221.198
ip 161.35.45.41
ip 45.77.252.175
ip 104.248.49 [.] 97
ip, который взаимодействует с загруженными веб-оболочками 194,87,69 [.] 35
URL /ecp/y.js
URL /ecp/DDI/DDIService.svc/GetList
URL /ecp/DDI/DDIService.svc/SetObject
URL /owa/auth/errorEE.aspx
URL /owa/auth/logon.aspx
URL /owa/auth/errorFE.aspx
URL /aspnet_client/aa.aspx
URL /aspnet_client/iis
URL /iistart.aaa
URL /owa/iistart.aaa
Пользовательский агент python-запросы / 2.25.1
Пользовательский агент antSword / v2.1

upd-01.
Технические подробности от MS в их блоге.

upd-02.
Скрипт проверки и латания уязвимости от MS.
Tags: tech support
Subscribe

Posts from This Journal “tech support” Tag

  • Серверы adobe не доступны. Код ошибки P206. Windows 7

    При продлении подписки на Adobe Acrobat получил сообщение: Серверы Adobe недоступны. Проверьте подключение к интернету и настройки брандмауэра,…

  • Линкмиап в питере.

    Финал линкмиапа. Пора отдельный тег заводить про mikrotik.

  • Реальная скорость WiFi 6 точек доступа.

    Уважаемы дядьки (практикующие инженеры из российских сетевых контор) собрались в офисе и каждый с собой припёр по точке доступа. Расчехлили…

  • Mikrotik не видит модем Huawei E3372.

    При переезде клиент сломал (физически) USB 4G модем. Пошёл в лабаз и купил Huawei E3372. Единственное что было из не залоченных на провайдера…

  • Veeam для физических машин

    Психанул чот. Недельные приседания вокруг бекапа полутора терабайтов данных на машине с Windows 10 подзаколебали. Стандартная бекапилка от MS…

  • Чего то с Group-ib происходит

    В свете вот этого и вот этого нужно признать и Group IB экстремистской организацией и всех кто оплачивал счета полученные с group-ib.com привлечь к…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic
  • 0 comments