Presse Details

Exchange-Hack: secion deckt aggressive Ausbreitungslogik in estonine-Schadsoftware auf

Das BSI hat den aktuellen Microsoft Exchange-Hack für Unternehmen als „IT-Bedrohungslage: 4/Rot“ eingestuft. Die festgestellten Sicherheitslücken werden aktiv ausgenutzt und ermöglichen einen Vollzugriff auf den betroffenen Exchange-Server.

Clemens Rambow, Offensive Security Consultant von secion, hat Schadcode einer der Angreifergruppen im Deep Dive unter die Lupe genommen. Dabei hat er neue Erkenntnisse hinsichtlich der automatisierten Ausbreitung gewonnen, die in den Medien noch nicht kommuniziert wurden.

So beinhaltet beispielsweise „update.png“ folgende Funktionalitäten, die komplett automatisiert eingesetzt werden:

  • Auslesen von Passwörtern und Passworthashes via Mimikatz;
  • Nachladen weiterer PowerShell-Skripte;
  • Netzwerkscans, um weitere Angriffsziele zu ermitteln;
  • Ausbreitung via SMB, Pass-the-Hash und EternalBlue;
  • Mechanismen, um sich dauerhaft auf infizierten Systemen einzunisten.

Genaue Informationen zur Vorgehensweise des Threat Hunter sowie detaillierte Einblicke in die Charakteristik der Schadsoftware finden Sie hier:

https://www.secion.de/de/blog/blog-details/exchange-hack-deep-dive.

Wie die Betrachtung der estonine-Schadsoftware zeigt, reichen Patchen und Bereinigen des betroffenen Exchange-Systems nicht aus. Sobald automatische Ausbreitungsroutinen oder auch manuelle Ausbreitungsaktivitäten ins Spiel kommen, kann unmittelbar davon ausgegangen werden, dass weitere Systeme betroffen sind.

Daher gibt secion im aktuellen Blogbeitrag auch Handlungsempfehlungen für Unternehmen, wie sie die Ausbreitung nachverfolgen und C2-Kommunikation erkennen können.

Zurück