Breaking News Exchange Hack: Unser SOC-Team deckt aggressive Ausbreitungslogik in platzierter Schadsoftware auf!

von

Lesezeit: Minuten ( Wörter)

Vor zwei Wochen gab Microsoft bekannt, dass es vier Sicherheitslücken im Exchange Server gibt, die aktiv ausgenutzt werden. Die Kombination dieser Lücken macht die laufende Angriffswelle deshalb so gefährlich, da sie Vollzugriff auf den betroffenen Exchange Server gewährt. Das BSI hat den Exchange Hack für Unternehmen als „IT-Bedrohungslage: 4 / Rot“ eingestuft – mehr als zu Recht, wie unser SOC Team in vielen Fällen festgestellt hat. Ihre spannenden Erkenntnisse zu nachfolgenden Angriffsaktivitäten, die bisher noch nicht in den Medien aufgetaucht sind, lesen Sie hier!

So läuft die Schadcode-Ausführung nach Ausnutzung der Exchange-Sicherheitslücken

Unser Expertenteam hat im Rahmen mehrerer Threat Hunting-Einsätze die Angriffsaktivitäten unterschiedlicher Angreifergruppen analysiert. In diesem Bericht fasst Clemens Rambow, Lead Threat Hunter, die Auswirkungen des besonders weit verbreiteten „estonine“-Schadcodes zusammen, welcher der Gruppe DLTMiner zugeordnet wird (ACHTUNG: Es ist durchaus möglich und wahrscheinlich, dass auch andere Schadsoftware zum Einsatz kommt, da eine Vielzahl von Akteuren die Sicherheitslücken ausnutzen, um aus unterschiedlichen Motiven davon zu profitieren). Die Analysen basieren dabei teilweise auf der Vorarbeit von John Hammond (@_johnhammond, https://gist.github.com/JohnHammond), der die Verschleierungstaktiken der Schadcode-Scripte analysiert und dekodiert hat.

Dies sind die konkreten Findings unseres SOC-Teams

Die Codeausführungskette verläuft auf der High-Level-Ebene wie folgt:

  1. Platzierung der Chinese Chopper ASPX-Webshell via Proxy-Logon Exploit-Chain: Die Webshell ermöglicht die Ausführung von beliebigem Code mit lokalen SYSTEM-Berechtigungen. Das bedeutet, dass der Angreifer die komplette Kontrolle über das Exchange-System erhält. Ebenso haben wir Belege, dass auch andere Akteure bereits platzierte Webshells vorheriger Angreifer ebenso für ihre Zwecke nutzen.
  2. Ausführung des ersten Powershell-Scripts via Webshell:
    1. Abgerufen von hXXp://p[.]estonine[.]com/p
    2. Hinterlegt den Zeitstempel der Infektion in C:\Windows\Temp\ccc.log
    3. Nistet sich auf dem System dauerhaft als Scheduled Task mit dem Namen "Winnet" ein, der alle 45 Minuten den nachfolgenden Schadcode abruft bzw. ausführt.
  3. Download und Ausführung hXXp://cdn[.]chatcdn[.]net/p?hig oder hXXp:///cdn[.]chatcdn[.]net/p?hig
  4. Abschließend wird der Powershell-Code hinter hXXp://p[.]estonine[.]com/update.png ausgeführt- hier handelt es sich um den tatsächlich interessanten Schadsoftware-Payload!

Die Schadsoftware hinter "update.png" ist ebenso ein Powershell-Script, jedoch mit deutlich erweiterter Funktionalität und dazu mit rund 3MB erheblich größer und aufwändiger verschleiert.

Zusammenfassend beinhaltet „update.png“ folgende Funktionalität, welche komplett automatisiert eingesetzt wird:

  • Auslesen von Passwörtern und Passworthashes via Mimikatz
  • Nachladen weiterer Powershell-Scripte
  • Netzwerkscans, um weitere Angriffsziele zu ermitteln
  • Ausbreitung via SMB, Pass-the-Hash und ETERNALBLUE
  • Mechanismen, um sich dauerhaft auf infizierten Systemen einzunisten

Deep-Dive: update.png-Angreifercode

Auslesen von Klartext-Zugangsdaten via Mimikatz

Um die Angriffstechniken besser nachzuvollziehen und auch Auswirkungen konkret abschätzen zu können, folgt eine detaillierte Darstellung der im Code implementierten Angriffstechniken und Abläufe auf Basis des dekodierten update.png-Scripts: Das Script beinhaltet zunächst das bekannte offensive Angriffswerkzeug Mimikatz, womit lokale Klartext-Zugangsdaten aller Nutzer sowie vorhandene Hashes ausgelesen werden.

Es wird anschließend versucht, ein weiteres Powershell-Script von hXXp://p[.]estonine[.]com/getnew.php nachzuladen und auszuführen, bei dem MAC-Adresse, PID und AV-Produkte, Windows-Version und Architektur als Parameter mitgegeben werden:

Der Inhalt ist derzeit noch unbekannt - denkbar wären z.B. die Platzierung von weiterer Schadsoftware für einen selektiven Zugriff und entsprechende manuelle Angriffsaktivitäten, Mining-Schadsoftware oder auch vorbereitete Ransomware, ggf. individuell angepasst auf das erkannte Antiviren-Produkt.

Automatisierte Netzwerkscans und Ausbreitung

Es erfolgt der Scan von lokalen Subnetzen nach Systemen mit offenem Port 445 (SMB) und 65353. Neben den erreichbaren Netzen nach ipconfig-Informationen werden auch folgende Netzbereiche gescannt:

    • 192.168.x.0/24-Netze
    • Das /24-Netz der öffentlichen IP. Die öffentliche IP wird via api[.]ipify[.]org abgerufen.

Nach dem Scan versucht sich Schadsoftware auf gefundenen Systemen via SMB einzunisten:

Der copyrun-Funktion nutzt zur Ausbreitung neben Pass-the-Hash über NTLM-Hashes ebenso eine Liste von häufig verwendeten Passwörtern/Hashes. Sofern eine Anmeldung mit Administratorrechten möglich ist, wird mithilfe von netsh.exe ein lokales Portforwarding vom lokalen Port 65353 zu 1111:53 (TCP) angelegt, also zu den DNS-Servern von Cloudflare:

Wie im Screenshot zu sehen, wird ebenso ein Scheduled Task namens „Sync“ erstellt, um sich dauerhaft auf dem System festzusetzen (Persistence). Dieser Task wird auf dem Zielsystem alle 40 Minuten ausgeführt und enthält einen Powershell-Oneliner, der Powershell-Code aus dem Internet lädt und ausführt (p[.]estonine[.]com/p?smb; Inhalt derzeit noch unbekannt, es liegt aber ein Zusammenhang mit dem DNS-Portforwarding nahe.

Sofern kein Administrator-Zugriff möglich ist, wird stattdessen ein anderer Persistence-Mechanismus genutzt:

Wie zu sehen, werden die Dateien %User%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk unf flashplayer.tmp an. Die hinterlegten Dateien werden bei Anmeldung des Benutzers ausgeführt und laden Code von hXXp://p[.]estonine[.]com/low nach, welcher vermutlich ebenso zur Ausführung des „update.png“-Schadcodes führt.

Einsatz von Exploitcode und Missbrauch neuer Nutzeranmeldungen

Neben der Ausbreitung erfolgt außerdem die Prüfung des Zielsystems nach Verwundbarkeit gegenüber der MS17-010-Schwachstelle (auch bekannt als ETERNALBLUE-Exploit) und ggf. deren Ausnutzung:

MS17-10 ist ein alter Bekannter, welcher bereits der Ransomware WannaCry zum „Erfolg“ verholfen hat. Trotz des Alters finden sich regelmäßig in internen IT-Umgebungen verwundbare Systeme, welche auch hier komplett automatisiert kompromittiert werden würden. Wie im obigen Screenshot zu sehen, werden erfolgreiche weitere Kompromittierungen außerdem an die C2-Infrastruktur übermittelt (hXXp://pslog[.]estonine[.]com/logging.php).

Der gesamte Ablauf des Scripts wird in einer Endlosschleife ca. alle 5 Minuten wiederholt, zzgl. Dauer von Scans und Ausbreitung. Sobald sich also im späteren Verlauf ein Administrator an einem betroffenen System anmeldet, würden dessen Zugangsberechtigungen ebenso für weitere Ausbreitungsversuche ausgenutzt, was zur fortschreitenden Infektion der gesamten Windows-Umgebung führen kann.

Fazit

Die exemplarische Betrachtung der estonine-Schadsoftware zeigt:

Das Patching und die Bereinigungsaktivitäten des betroffenen Exchange-Systems greifen deutlich zu kurz. Sobald automatische Ausbreitungsroutinen oder auch manuelle Ausbreitungsaktivitäten ins Spiel kommen, kann unmittelbar davon ausgegangen werden, dass weitere Systeme betroffen sind. Dazu kommt, dass Exchange-Server häufig hochprivilegierten Zugriff auf die Windows-AD-Umgebung oder Nutzer mit Domain-Admin-Berechtigung auf Exchange-Servern arbeiten. Um die Ausbreitung nachzuverfolgen und C2-Kommunikation zu erkennen, ist effektives Netzwerkmonitoring und Threat-Hunting-Expertise notwendig, da andernfalls oft weitere infizierte Systeme unerkannt im Netzwerk verbleiben. Mit Lösungen wie Active Cyber Defense lässt sich die C2-Kommunikation von weiteren infizierten Systemen sichtbar machen und die Netzwerkausbreitung auf Basis historischer Logs untersuchen.

Anhang

Festgestellte Indicators of Compromise (IOCs)

Indicator of Compromise (IoC) sind Merkmale und Daten, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen. Dabei handelt es sich beispielsweise um außergewöhnliche Netzaktivitäten, besondere Dateien, Einträge in Logfiles oder gestartete Prozesse.

Folgende Kompromittierungsindikatoren hat unser SOC Team im Rahmen seiner Analyse aufgedeckt:

Dateien

  • C:\Windows\Temp\ccc.log
  • %User%\AppData\Roaming\sign.txt
  • %User%\AppData\Roaming\flashplayer.tmp
  • %User%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk

DNS

  • p[.]estonine[.]com
  • pslog[.]estonine[.]com
  • cdn[.]chatcdn[.]net

URLs

  • hXXp://cdn[.]chatcdn[.]net/p?hig
  • hXXp://cdn[.]chatcdn[.]net/p?low
  • hXXp://p[.]estonine[.]com/p
  • hXXp://p[.]estonine[.]com/getnew.php
  • hXXp://pslog[.]estonine[.]com/logging.php

Eventlogs

  • EventID 600 (Powershell): HostApplication=powershell -ep bypass -e SQBFAF
  • EventID 600 (Powershell): HostApplication=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -ep bypass -e SQBFAF

Scheduled Tasks

  • Winnet
  • Sync

Verwendete offensive Tools (ggf. AV-Alerts)

  • Invoke-Mimikatz
  • Invoke-TheHash
  • Chinese Chopper
  • PowerDump
  • Powershell Inveigh
  • Eternalblue
  • PingCastle

Mögliche Korrelationen

  • Interne Portscans auf 445 und 65353 (TCP)
  • Pass-The-Hash bzw. untypische Anmeldeversuchen via SMB
  • Beaconing-Verhalten mit Interval 5min+ und ~40min
  • Abruf api[.]ipify[.]org
  • Untypische Nutzung von CloudFlare-DNS auf 1.1.1.1
  • Nutzung von powershell.exe und cmd.exe
  • Reflective DLL-Injection
  • Zugriff auf lsass.exe-Prozessimage

Jetzt die Ausbreitung der Exchange Schadsoftware in Ihrem Netzwerk nachverfolgen und C2-Kommunikation erkennen!

Unsere Experten beraten Sie gerne zu unserem Active Cyber Defense Service - kontaktieren Sie uns!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück