Уязвимости Microsoft Exchange использовались для развертывания Babuk Ransomware

отредактировано 5 ноя Раздел: Уязвимости систем и приложений
Cisco Talos недавно обнаружила вредоносную кампанию по развертыванию вариантов программы-вымогателя Babuk, поражающей преимущественно пользователей в США, с меньшим количеством заражений в Великобритании, Германии, Украине, Финляндии, Бразилии, Гондурасе и Таиланде.
Актера кампании иногда называют Тортилла, исходя из имен файлов полезной нагрузки, используемых в кампании. Это новый субъект, работающий с июля 2021 года. До этого вымогателя Tortilla экспериментировала с другими полезными нагрузками, такими как основанный на PowerShell netcat, клон Powercat, который, как известно, предоставляет злоумышленникам несанкционированный доступ к машинам Windows.
Мы с уверенностью оцениваем, что первоначальным вектором заражения является эксплуатация уязвимостей ProxyShell в Microsoft Exchange Server посредством развертывания веб-оболочки China Chopper.

Какие новости?

12 октября 2021 г. Cisco Talos обнаружила вредоносную кампанию с использованием телеметрии продуктов Cisco Secure, нацеленную на уязвимые серверы Microsoft Exchange и пытающуюся использовать уязвимость ProxyShell для развертывания программы-вымогателя Babuk в среде жертвы. Актер использует несколько необычную технику цепочки заражения, когда промежуточный модуль распаковки размещается на клоне pastebin.com pastebin.pl. Промежуточный этап распаковки загружается и декодируется в памяти до того, как будет расшифрована и выполнена окончательная полезная нагрузка, встроенная в исходный образец.

Как это работало?

Заражение обычно начинается с загрузочного модуля на сервере жертвы. Мы наблюдали загрузчики в автономном исполняемом формате и в формате DLL. Загрузчик DLL запускается родительским процессом w3wp.exe, который является рабочим процессом Exchange IIS.

Первоначальный загрузчик представляет собой модифицированный эксплойт EfsPotato для нацеливания на уязвимости proxyshell и PetitPotam. Загрузчик запускает встроенную запутанную команду PowerShell для подключения и загрузки упакованного модуля загрузчика из инфраструктуры актора. Команда PowerShell также выполняет обход AMSI для обхода защиты конечных точек. Сервер загрузки размещается на вредоносных доменах fbi [.] Fund и xxxs [.] Info.

Первоначально упакованный модуль загрузчика содержит зашифрованные ресурсы .NET в виде растровых изображений. Расшифрованный контент и есть фактическая полезная нагрузка программы-вымогателя Babuk. Чтобы расшифровать и распаковать полезную нагрузку, загрузчик подключается к URL-адресу pastebin.pl, содержащему промежуточный модуль распаковщика. Модуль распаковщика расшифровывает внедренную полезную нагрузку программы-вымогателя Babuk в памяти и внедряет ее во вновь созданный процесс AddInProcess32.
Модуль вымогателя Babuk, работающий в рамках процесса AddInProcess32, перечисляет процессы, запущенные на сервере жертвы, и пытается отключить ряд процессов, связанных с продуктами резервного копирования, такими как служба резервного копирования Veeam. Он также удаляет моментальные снимки службы теневого копирования томов (VSS) с сервера с помощью утилиты vssadmin, чтобы убедиться, что зашифрованные файлы не могут быть восстановлены из их копий VSS
. Модуль вымогателя шифрует файлы на сервере жертвы и добавляет к зашифрованным файлам расширение .babyk. Актер требует, чтобы жертва заплатила 10 000 долларов США за ключ дешифрования для восстановления своих файлов.

И что?

Babuk - это программа-вымогатель, которую можно скомпилировать для нескольких аппаратных и программных платформ. Компиляция настраивается с помощью сборщика программ-вымогателей. Windows и ARM для Linux являются наиболее часто используемыми скомпилированными версиями, но со временем наблюдались ESX и 32-разрядный старый исполняемый файл PE. Однако в этой конкретной кампании мы обнаружили свидетельства того, что акторы специально нацелены на Windows.

Программа-вымогатель Babuk опасна по своей природе и, шифруя машину жертвы, прерывает процесс резервного копирования системы и удаляет теневые копии тома. В начале сентября 2021 года произошла утечка исходного кода Бабука и бинарного компоновщика, что, возможно, подтолкнуло новых злоумышленников к манипулированию и развертыванию вредоносного ПО. Недавно был выпущен дешифратор Бабука. К сожалению, он эффективен только для файлов, зашифрованных с помощью нескольких утекших ключей, и не может использоваться для расшифровки файлов, зашифрованных вариантом, описанным в этом сообщении в блоге.

Организации должны регулярно обновлять свои серверы и приложения последними доступными исправлениями от поставщиков, устраняющими уязвимости в их среде. Защитники должны постоянно искать подозрительные события, генерируемые системами обнаружения для внезапного прекращения обслуживания, аномально высокой скорости ввода-вывода для дисков, подключенных к их серверам, удаления теневых копий или изменений конфигурации системы.

Сводная информация о цепочке заражения

Cisco Talos обнаружила вредоносную кампанию, в которой использовались исполняемые файлы DLL или .NET. Один из двух типов файлов запускает цепочку заражения целевой системы. Первоначальный исполняемый модуль .NET запускается как дочерний процесс w3wp.exe и вызывает командную оболочку для выполнения запутанной команды PowerShell.

Команда PowerShell вызывает веб-запрос и загружает модуль загрузчика полезной нагрузки с помощью certutil.exe с URL-адреса, размещенного в доменах fbi [.] Fund и xxxs [.] Info, или с IP-адреса 185 [.] 219 [.] 52 [ .] 229.

Загрузчик полезной нагрузки загружает промежуточный этап распаковки с сайта клона PasteBin pastebin.pl. Распаковщик объединяет растровые изображения, встроенные в раздел ресурсов трояна, и расшифровывает полезную нагрузку в памяти. Полезная нагрузка вводится в процесс AddInProcess32 и используется для шифрования файлов на сервере жертвы и всех подключенных дисках.

oqhqyq6peakm.jpg

Этап 1: Загрузчики

Мы наблюдали исходные серверы, нацеленные на исполняемые файлы или библиотеки DLL, которые используют архитектуру Intel и AMD. Обычно, если исполняемый файл имеет w3wp (рабочий процесс IIS в Exchange) в качестве родительского процесса, это означает, что злоумышленник воспользовался уязвимостью ProxyShell. В наблюдаемых зараженных системах также была установлена ​​веб-оболочка China Chopper. Мы полагаем, что China Chopper в конечном итоге запустил команду начальной загрузки.

Наша телеметрия также показывает, что инфраструктура актора была активна в попытках использовать ряд уязвимостей в других продуктах, чаще всего запускающих следующие правила Snort:

Попытка подделки запроса на стороне сервера автообнаружения Microsoft Exchange (57907)
Попытка удаленного выполнения кода с внедрением OGNL Atlassian Confluence (58094)
Попытка удаленного выполнения кода Apache Struts (39190, 39191)
Доступ WordPress к wp-config.php через попытку обхода каталога (41420)
Попытка обхода аутентификации SolarWinds Orion (56916)
Попытка удаленного выполнения команды Oracle WebLogic Server (50020)
Попытка десериализации произвольного Java-объекта Liferay (56800)

DLL

Мы заметили, что родительский процесс w3wp.exe, рабочий процесс IIS, который запускает приложения .NET, запускает DLL-загрузчик. DLL представляет собой сборку в смешанном режиме, функциональность которой включена в исходную точку входа библиотеки DllMainCRTStartup. Функция DllMainCRTStartup вызывает командную оболочку для запуска закодированной команды PowerShell для загрузки загрузчика следующего этапа из hxxp: // fbi [.] Fund / dark.exe, который является основным упакованным модулем, содержащим конечную полезную нагрузку.

Модуль загрузчика исполняемых файлов .NET

Исполняемая версия .NET начального загрузчика представляет собой слегка модифицированный вариант эксплойта EfsPotato с кодом для загрузки и запуска следующего этапа. EfsPotato - это эксплойт, который пытается повысить привилегии процесса с помощью уязвимости в зашифрованной файловой системе (CVE-2021-36942).

Команда PowerShell вызывает веб-запрос для подключения к вредоносному репозиторию hxxp: // fbi [.] Fund / tortillas / с помощью командлета Invoke-WebRequest и certutil.exe для загрузки модуля основного загрузчика и сохранения его как tortilla.exe. Наконец, загрузчик запускает tortilla.exe.

6cegionb1hht.png


Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано 5 ноя PM
    Эксплойт перечисляет текущие привилегии пользователя и доступ к токену пользователя и изменяет уровень доступа к токену на MaximumAllowed, тем самым расширяя привилегии и вызывая функцию CreateProcessAsUser для запуска загрузчика этапа 2 как нового процесса в контексте безопасности, указанном в токене пользователя жертвы. учетная запись.

    Актер выполняет обход AMSI и отключает мониторинг в реальном времени Защитника Windows, сканирование сценариев и мониторинг поведения, выполняя командлет Set-MpPreference.

    Загрузчики этапа 1, связанные с этой кампанией, подписаны той же цифровой подписью, действительность которой мы не можем проверить. Отпечаток подписи: 21D354A27519DD62B328416BAB01767DA94786CB. Этим же сертификатом актер подписывает образцы предыдущих кампаний, проведенных с июля 2021 года.

    Этап 2: Загрузчик основного модуля

    На втором этапе основной загрузчик вымогателей содержит окончательную полезную нагрузку. Это 32-битный исполняемый файл .NET, маскирующийся под законное приложение системы управления запасами (SMS), которое не следует путать с протоколом обмена SMS-сообщениями. В модуль входит ConfuserEx, бесплатный защитник с открытым исходным кодом для .NET-приложений. Этот этап загружается процессом, запущенным рабочим процессом Exchange IIS.

    Приложение содержит окончательную полезную нагрузку в зашифрованном формате, разделенную между ресурсами .NET.

    Он пытается подключиться к URL-адресу хттпс[:]//pastebin.pl/view/raw/a57be2ca и загрузить промежуточный модуль, необходимый для распаковки окончательной полезной нагрузки.

    URL-адрес передается в качестве аргумента функции дешифрования, которая загружает поток данных из PasteBin и расшифровывает поток данных в памяти для создания промежуточного модуля распаковки.

    Этап 3: Промежуточный распаковщик

    Промежуточный распаковщик - это DLL, двоичный файл которой хранится в виде закодированного текста в PasteBin. Библиотека связана с классами, которые проверяют наличие песочниц и сред виртуальных машин, перечисляя свои службы, чтобы определить, работает ли она в виртуализированной среде.

    DLL содержит несколько массивов с символами ASCII, значения которых, такие как путь к папке и расположение каталогов, расшифровываются с использованием алгоритма Rijndael.

    Распаковщик создает копию легитимного файла AddInProcess32.exe во временной папке пользователя C: \ Users \ Username \ AppData \ Local \ Temp и запускает процесс в приостановленном режиме. Microsoft рекомендовала занести это приложение в черный список, так как его можно использовать для обхода контроля приложений Защитника Windows.

    Промежуточный модуль распаковки получает доступ к ресурсам загрузчика этапа 2, анализирует поток двоичных данных, встроенных в файлы растровых изображений, в память и на основе конфигурации упаковщика вводит расшифрованный модуль в виртуальную память ранее запущенного AddInProcess32.exe. Распакованный модуль в памяти - это полезная нагрузка программы-вымогателя Бабук.
    Упаковщик имеет возможность вводить полезную нагрузку в зависимости от ее конфигурации в один из следующих процессов:

    AppLaunch.exe
    svchost.exe
    RegAsm.exe
    InstallUtil.exe
    mscorsvw.exe
    AddInProcess32.exe

    Чтобы скрыть факт загрузки модуля из Интернета, распаковщик удаляет идентификатор зоны альтернативного потока данных основного загрузчика.

    Этап 4: полезная нагрузка программы-вымогателя Babuk

    Загрузчик этапа 2 создает копию файла AddinProcess32.exe во временном каталоге пользователя и запускает процесс. Распакованная полезная нагрузка программы-вымогателя Babuk вводится в процесс и запускается. Этот конкретный вариант похож на ранее задокументированные варианты с небольшими изменениями.

    Полезная нагрузка программы-вымогателя создает мьютекс с именем DoYouWantToHaveSexWithCuongDong, ссылаясь на имя исследователя, проанализировавшего его в начале года.

    Полезная нагрузка запускает командную оболочку в фоновом режиме и выполняет команду для удаления теневой копии тома машины жертвы с помощью vssadmin.exe.

    Затем модуль полезной нагрузки открывает диспетчер служб, чтобы перечислить запущенные службы с целью найти службы резервного копирования, перечисленные на снимке экрана ниже. Если какая-либо из служб резервного копирования будет обнаружена, троян остановит их с помощью вызова функции ControlService API.

    Модуль полезной нагрузки просматривает файловую систему в поисках файлов для шифрования. После шифрования файлы будут иметь новое расширение имени файла .babyk. Однако Бабук также содержит список имен файлов и каталогов, которые будут исключены из процесса шифрования, чтобы система оставалась работоспособной и позволяла злоумышленникам общаться с жертвой.

    Записку с требованием выкупа
    Модуль полезной нагрузки создает файл How To Restore your Files.txt, который содержит уведомление жертве о том, что ее сеть взломана, а ее файлы зашифрованы с использованием AES-256-CTR с шифром ChaCha8.
    Актер требует, чтобы жертва заплатила эквивалент 10000 долларов США, уплаченных в Monero (XMR), на адрес кошелька.
    46zdZVRjm9XJhdjpipwtYDY51NKbD74bfEffxmbqPjwH6efTYrtvbU5Et4AKCre9MeiqtiR51Lvg2X8dXv1tP7nxLaEHKKQ
    Актер также раскрыл свои идентификаторы электронной почты, чтобы жертвы могли связаться с ними для дальнейших инструкций и ключа дешифрования после совершения платежа.

    hrfnnoe98ooq.png

    Tortilla и их инфраструктура
    Инфраструктура Tortilla состоит из сервера загрузки на основе Unix и размещает их промежуточный код распаковщика на сайте pastebin.pl, который, похоже, не имеет отношения к популярному pastebin.com. Несмотря на то, что это законно, мы наблюдали несколько предыдущих вредоносных кампаний, включая варианты AgentTesla и Formbook, размещающие на сайте их дополнительный контент. Доступ к сайту из сети компании может свидетельствовать об успешном взломе.

    сервер загрузки

    Согласно Shodan, сервер загрузки с IP-адресом 185 [.] 219 [.] 52 [.] 229 расположен в Москве, Россия, и работает под управлением OpenSSH и Python версии 3.9.7. Есть два домена, контролируемых субъектом: fbi [.] Fund и xxxs [.] Info. Оба этих домена преобразуются в IP-адрес 185 [.] 219 [.] 52 [.] 229, IP-адрес, на котором размещены все вредоносные модули, за исключением промежуточного модуля распаковщика, размещенного на pastebin.pl.
    Информация о домене xxxs [.] Использовалась в кампаниях до 13 октября 2021 года, когда актер перешел на использование фонда fbi [.].

    Заключение

    Утечка конструктора Babuk и его исходного кода в июле способствовала его широкой доступности даже для менее опытных операторов программ-вымогателей, таких как Tortilla. Этот субъект работает только с начала июля этого года и экспериментирует с различными полезными нагрузками, по-видимому, для получения и поддержания удаленного доступа к зараженным системам. Актер демонстрирует навыки от низкого до среднего, приличное понимание концепций безопасности и способность вносить незначительные изменения в существующие вредоносные программы и агрессивные инструменты безопасности.

    Телеметрия Cisco Talos показывает, что злоумышленник использует свою инфраструктуру для размещения вредоносных модулей и проводит сканирование в Интернете для использования уязвимых хостов, на которых размещены несколько популярных приложений, включая Microsoft Exchange. Эта конкретная кампания Бабука, похоже, в первую очередь полагается на использование уязвимостей Exchange Server.

    Организации и защитники должны сохранять бдительность в отношении таких угроз и внедрять многоуровневую защиту с включенной поведенческой защитой для конечных точек и серверов, чтобы обнаруживать угрозы на ранней стадии цепочки заражения.

    Как всегда в случае с программами-вымогателями, основными средствами защиты являются надежные методы резервного копирования, а также развертывание централизованных средств ведения журналов и XDR для наиболее важных ресурсов в сетях организации. В дополнение к этому защитникам настоятельно рекомендуется применить последние исправления безопасности ко всем серверам, обращенным извне, а также к важным активам во внутренней сети.

    https://blog.talosintelligence.com/2021/11/babuk-exploits-exchange.html
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.