Erkennung neuer ProxyShell-Ausnutzungsströme
Inhaltsverzeichnis:
Stellen Sie sicher, dass Ihre Microsoft Exchange Server gegen ProxyShell-Schwachstellen gesichert sind, da Hacker neue Tricks erfinden, um von den exponierten Instanzen zu profitieren. Derzeit beobachten Forscher mehrere Phishing-Kampagnen, die die bösartigen Schwachstellen zur Malware-Bereitstellung nutzen. Darüber hinaus werden ProxyShell-Schwachstellen zunehmend in einer Reihe von Operationen zur Ransomware-Infektion eingesetzt.
Neue Angriffsketten zur Bereitstellung einer Vielzahl von Bedrohungen
Laut der jüngsten Untersuchung von Mandiant nutzen Gegner ProxyShell-Schwachstellen aus, um Webshells auf den exponierten Systemen auf eine innovative, unauffällige Weise abzulegen. In einigen der analysierten Einbrüche wird die Webshell-Phase vollständig weggelassen, wobei sich die Angreifer auf versteckte privilegierte Postfächer verlassen, um Konten zu übernehmen und andere verdeckte Aktionen durchzuführen.
Mit dem aktualisierten Ausnutzungsablauf für ProxyShell brach eine Flut von Angriffen herein. Zum Beispiel beschreibt der DFIR-Bericht eine bösartige Operation von APT35 (Charming Kitten, TA453), die Ende September 2021 gestartet wurde. Das Hacker-Kollektiv nutzte ProxyShell-Exploits, um Aufklärung auf den angegriffenen Systemen durchzuführen, mit LSASS-Dumping fortzufahren und RDP-Verbindungen in die Umgebung zu proxyen. Als Ergebnis gelang es dem Akteur, Systeme domainweit mit Ransomware-Beispielen von BitLocker und DiskCryptor zu infizieren.
Eine weitere bösartige Kampagne, die ProxyShell-Schwachstellen ausnutzt, wurde kürzlich detailliert von Trend Micro. Insbesondere nutzten Angreifer die Schwachstellen ProxyShell und ProxyLogon, um Spam-Antworten auf bestehende E-Mail-Konversationen zu senden und Opfer mit dem SquirrelWaffle-Loader zu infizieren. Phishing-E-Mails liefern präparierte Word- und Excel-Dateien mit bösartigen Makros. Bei Aktivierung startet ein Skript einen DLL-Loader, der wiederum die SquirrelWaffle-Nutzdaten herunterlädt. Das endgültige bösartige Beispiel ist entweder CobaltStrike oder Qbot. DerAnalyst Cybersicherheitsforscher bietet zusätzliche Details zu dieser Kampagne und behauptet, dass das Kollektiv TA557 (tr01/TR) dahintersteht.
ProxyShell-Schwachstellen
ProxyShell ist eine einzelne Bezeichnung für ein Trio von separaten Schwachstellen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), die, wenn sie miteinander kombiniert werden, es Hackern erlauben, auf Admin-Ebene zu gelangen und Remote-Code-Ausführung auf verwundbaren Microsoft Exchange-Servern durchzuführen. Mehrere Exchange-Server-Versionen sind betroffen, darunter 2013, 2016 und 2019.
Obwohl ProxyShell-Schwachstellen im Juli öffentlich bekannt gegeben wurden, hat Microsoft diese berüchtigten Sicherheitsprobleme bereits im Mai 2021 behoben. Alle Benutzer mit Mai- oder Juli-Patches installiert, haben ihre Systeme gesichert. Dennoch zeigt die jüngste Shodan-Suche über 23.000 Server, die immer noch Einbrüchen ausgesetzt sind und es Hackern ermöglichen, Systeme weltweit zu gefährden.
Erkennung neuer ProxyShell-Angriffe
Um Sicherheitsexperten bei der Erkennung bösartiger Aktivitäten im Zusammenhang mit neuen ProxyShell-Ausnutzungsversuchen zu unterstützen, können Sie eine Charge dedizierter Erkennungsinhalte im Threat Detection Marketplace-Repo herunterladen:
Conti Ransomware-Ausführung mit ProxyShell-Exploit
Suchen Sie nach den besten SOC-Inhalten, die mit Ihren SIEM-, EDR- und NTDR-Lösungen kompatibel sind? Erkunden Sie die Detection as Code-Plattform von SOC Prime, um Ihre benutzerdefinierten Anwendungsfälle zu adressieren, die Bedrohungserkennung und Bedrohungsjagd zu steigern und eine vollständige Visualisierung des Fortschritts Ihres Teams zu erhalten. Leidenschaftlich über die Bedrohungsjagd und bereit, zur branchenweit ersten SOC-Inhaltsbibliothek beizutragen? Treten Sie unserem Threat Bounty Program bei!
