ProxyShellMiner-Erkennung: Neue Krypto-Mining-Angriffe, die CVE-2021-34473 und CVE-2021-34523 ProxyShell-Schwachstellen in Windows Exchange Servern ausnutzen

Bleiben Sie wachsam! Bedrohungsakteure haben erneut Microsoft Windows Exchange-Server im Visier, versuchen diese zu kompromittieren, indem sie die berüchtigten ProxyShell-Schwachstellenausnutzen. Cybersicherheitsforscher haben eine neue ausweichende bösartige Kampagne beobachtet, die als „ProxyShellMiner“ bezeichnet wird und zwei Microsoft Exchange ProxyShell-Schwachstellen ausnutzt, die als CVE-2021-34473 und CVE-2021-34523 verfolgt werden, um Kryptowährungs-Miner zu liefern. 

Erkennung von ProxyShellMiner-Angriffen, die Microsoft Exchange ProxyShell-Schwachstellen ausnutzen

Mit den ständig wachsenden Mengen an Kryptomining-Angriffen suchen Organisationen nach neuen Wegen, um ihre Cyberabwehrfähigkeiten zu stärken. Die neueste ProxyShellMiner-Kampagne, die ProxyShell-Schwachstellen ausnutzt, die als CVE-2021-34473 und CVE-2021-34523 verfolgt werden, wendet ausgeklügelte Erkennungsvermeidungstechniken an und stellt eine ernsthafte Bedrohung für kompromittierte Organisationen dar, da Bedrohungsakteure mit einer Vielzahl offensiver Fähigkeiten experimentieren können, von der Bereitstellung von Malware bis zur Codeausführung. 

Um Organisationen dabei zu helfen, rechtzeitig das Vorhandensein einer Infektion in ihrer Umgebung zu erkennen, hat die Detektion-as-Code-Plattform von SOC Prime kürzlich eine neue Sigma-Regel geliefert, um ProxyShellMiner-Kryptomining-Angriffe zu erkennen:

Mögliche ProxyShellMiner-Kampagne, die CVE-2021-34473 und CVE-2021-34523 [ProxyShell] Schwachstellen ausnutzt, indem sie zugehörige Dateien erkennt (über file_event)

Diese Sigma-Regel, geschrieben von unserem produktiven Threat-Bounty-Entwickler, Aytek Aytemur, erkennt bösartige Dateien, die mit einer ProxyShellMiner-Kampagne in Verbindung stehen, die ProxyShell-Schwachstellen ausnutzt. Die Erkennung ist mit dem MITRE ATT&CK-Framework v12abgestimmt und adressiert die Ausführungstaktik mit der Technik User Execution (T1204) als primäre Methode. Die Sigma-Regel kann automatisch in 20 SIEM-, EDR- und XDR-Lösungen übersetzt werden und spart Sekunden bei der Bedrohungserkennung über mehrere Plattformen hinweg.

Suchen Sie nach Möglichkeiten, Ihre Sigma-Regeln und ATT&CK-Kenntnisse zu meistern und Anerkennung bei Branchenkollegen zu erhalten? Treten Sie dem Threat Bounty Program bei, um Ihren zukünftigen Lebenslauf zu codieren, der es Ihnen ermöglicht, entweder eine Karriere in der Erkennungsentwicklung zu starten oder sich in der Cybersicherheit weiterzuentwickeln, indem Sie Ihre Sigma-Regeln mit der Community teilen und Ihre Beiträge monetarisieren. 

Um vollständig mit Inhalten ausgestattet zu sein, um laufende ProxyShell-Ausbeutungsversuche zu erkennen, kuratiert SOC Prime ein Set dedizierter Sigma-Regeln. Klicken Sie auf die Schaltflächen unten, um Inhalte für die Erkennung von CVE-2021-34473- und CVE-2021-34523-Schwachstellenausbeutungen zu erreichen, die nach den entsprechenden benutzerdefinierten Tags gefiltert sind. Alle Sigma-Regeln sind mit CTI angereichert, bieten ATT&CK-Verweise und bieten relevante Betriebsmetadaten, um eine reibungslose Bedrohungsuntersuchung zu fördern.

Erkunden Sie Erkennungen für CVE-2021-34473 Erkunden Sie Erkennungen für CVE-2021-34523

Analyse des ProxyShellMiner-Kryptomining-Angriffs

ProxyShell ist ein Titel für ein Trio von Sicherheitslücken, das, wenn es kombiniert wird, es Angreifern ermöglicht, RCE auf gezielten Microsoft Windows Exchange-Servern durchzuführen. Diese Schwachstellen wurden bekannt und von Microsoft bereits 2021 gepatcht. Seitdem beobachten Cyber-Verteidiger jedoch diverse Ausbeutungsversuche, die darauf abzielen, die betroffenen Exchange-Server zu lähmen, wie in einer Reihe ausgeklügelter Angriffe, die ProxyShell-Schwachstellen nutzen, um Web-Shells auf den kompromittierten Systemen abzulegen.

In dem laufenden Kryptomining-Angriff, der als „ProxyShellMiner“ bezeichnet wird, verwenden Hacker zwei als CVE-2021-34473 und CVE-2021-34523 bekannte ProxyShell-Schwachstellen, um sich im Unternehmensumfeld Fuß zu fassen.

Morphisec-Cybersicherheitsforscher verdeutlichen die damit verbundenen Aktivitäten der Angreifer. Nach dem Kompromittieren von Exchange-Servern und der Kontrolle über das Netzwerk der Organisation setzen Angreifer eine .NET-basierte Nutzlast in den Ordner des Domänencontrollers ein, um sicherzustellen, dass alle Geräte in der betroffenen Umgebung infiziert sind. Bemerkenswert ist, dass die C2-Server der Angreifer, die die malwarebezogenen Dateien hosten, legitim zu sein scheinen, was die Erkennung von Angriffen erschwert. 

ProxyShellMiner wendet neben fortschrittlichen Persistenz- und Erkennungsvermeidungstechniken eine ausgeklügelte Verschlüsselung an. Laut Morphisecs Untersuchungbenötigt die Malware einen Befehlszeilenparameter zur Ausführung, der weiter als Schlüssel zur Konfiguration der XMRig-Nutzlast verwendet wird und auch als Technik zur Vermeidung einer Laufzeitanalyse dient. 

In der zweiten Angriffsphase lädt ProxyShellMiner eine „DC_DLL“-Datei herunter, die weiter zum Entschlüsseln anderer Dateien genutzt wird. Danach nutzen die Bedrohungsakteure den zweiten bösartigen Downloader, um sich durch das Ausführen einer geplanten Aufgabe im kompromittierten System dauerhaft festzusetzen. 

In der finalen Angriffsphase beobachten Cyberverteidiger den Einsatz von Sicherheitsevasionstechniken, die die Malware-Erkennung erschweren. Dies wird erreicht, indem eine Firewall-Regel erstellt wird, die die Windows-Firewall-Profile beeinflusst und es Angreifern ermöglicht, den XMrig-Miner nahtlos abzulegen, indem sie die häufig verwendete RunPE-Technik der Angreifer nutzen.

Cyber-Verteidiger geben an, dass ProxyShellMiner-Infektionen für die Umwelt der Organisationen hochgefährlich sein könnten und nicht unterschätzt werden sollten, da Angreifer nach dem Zugriff auf das kompromittierte Netzwerk Grünes Licht erhalten, um weitere bösartige Stämme zu verbreiten und Reverse-Tunneling zu nutzen, um die Infrastruktur weiter zu lähmen. 

Suchen Sie nach einem universellen Werkzeug, um die Übersetzung Ihres Detektionscodes auf mehrere Plattformen zu optimieren und Ihre IOC-basierten Suchen zu vereinfachen? Probieren Sie die neue Version von SOC Primes Uncoder.IO, die es ermöglicht, Sigma-Regeln automatisch in mehr als 27 SIEM-, EDR- und XDR-Lösungen zu konvertieren, sowie in Sekundenschnelle benutzerdefinierte IOC-Abfragen zu erstellen, um nach Bedrohungen in Ihrer Umgebung zu suchen. Sowohl erfahrene als auch angehende Sicherheitsexperten können das Tool auch nutzen, um ihre Sigma-Regeln mit integrierten automatisierten Prüfungen zu verfeinern und die Erkennungslogik nahtlos mit der Cyber-Verteidiger-Community zu teilen, um die Zusammenarbeit in der Branche voranzutreiben.