Detección de ProxyShellMiner: Nuevos Ataques de Cripto-Minería Aprovechando las Vulnerabilidades de ProxyShell CVE-2021-34473 y CVE-2021-34523 en Servidores Exchange de Windows 

¡Mantente alerta! Los actores de amenazas una vez más ponen sus ojos en los servidores Microsoft Windows Exchange, intentando comprometerlos mediante la explotación de infames vulnerabilidades ProxyShell. Investigadores de ciberseguridad han observado una nueva campaña maliciosa evasiva denominada “ProxyShellMiner” que explota dos fallos de Microsoft Exchange ProxyShell registrados como CVE-2021-34473 y CVE-2021-34523 para entregar mineros de criptomonedas. 

Detectar ataques ProxyShellMiner que explotan vulnerabilidades de Microsoft Exchange ProxyShell

Con el constante aumento de los volúmenes de ataques de minería de criptomonedas, las organizaciones buscan nuevas formas de fortalecer sus capacidades de defensa cibernética. La última campaña ProxyShellMiner que abusa de los fallos ProxyShell registrados como CVE-2021-34473 y CVE-2021-34523 aplica sofisticadas técnicas de evasión de detección y representa una amenaza grave para las organizaciones comprometidas, permitiendo a los actores de amenazas experimentar con una amplia gama de capacidades ofensivas, desde el despliegue de malware hasta la ejecución de código. 

Para ayudar a las organizaciones a identificar oportunamente la presencia de infección en su entorno, la plataforma Detection as Code de SOC Prime ha entregado recientemente una nueva regla Sigma para detectar ataques de minería de criptomonedas ProxyShellMiner:

Posible campaña ProxyShellMiner explotando las vulnerabilidades CVE-2021-34473 y CVE-2021-34523 [ProxyShell] al detectar archivos asociados (via file_event)

Esta regla Sigma, escrita por nuestro prolífico desarrollador de Threat Bounty, Aytek Aytemur, detecta archivos maliciosos relacionados con una campaña ProxyShellMiner que abusa de las vulnerabilidades ProxyShell. La detección está alineada con el marco MITRE ATT&CK v12, abordando la táctica de Ejecución con Ejecución de Usuario (T1204) aplicada como su técnica principal. La regla Sigma puede traducirse automáticamente a más de 20 soluciones SIEM, EDR y XDR ahorrando segundos en la detección de amenazas multiplataforma.

¿Buscando formas de dominar tus reglas Sigma y tus habilidades ATT&CK y ganar reconocimiento entre tus pares de la industria? Únete al Programa Threat Bounty para codificar tu futuro CV, permitiéndote comenzar una carrera en Ingeniería de Detección o autoavanzar en ciberseguridad compartiendo tus reglas Sigma con la comunidad y monetizando tus contribuciones. 

Para estar completamente equipado con contenido para detectar intentos de explotación de ProxyShell en curso, SOC Prime cura un conjunto de reglas Sigma dedicadas. Haz clic en los botones a continuación para alcanzar el contenido de detección de explotación de vulnerabilidades CVE-2021-34473 y CVE-2021-34523 filtrado por las etiquetas personalizadas correspondientes. Todas las reglas Sigma están enriquecidas con CTI, proporcionan referencias ATT&CK y ofrecen metadatos de operación relevantes para fomentar la investigación de amenazas simplificada.

Explorar Detecciones para CVE-2021-34473 Explorar Detecciones para CVE-2021-34523

Análisis de Ataques de Minería de Criptomonedas ProxyShellMiner

ProxyShell es un título para un trío de fallos de seguridad que, si se encadenan, permiten a los adversarios realizar RCE en servidores Microsoft Windows Exchange objetivo. Estas vulnerabilidades salieron a la luz y fueron parcheadas por Microsoft en 2021. Sin embargo, desde entonces, los defensores cibernéticos han estado observando diversos intentos de explotación dirigidos a paralizar los servidores Exchange afectados, como en la serie de sofisticados ataques que aprovechan las vulnerabilidades ProxyShell para dejar web shells en los sistemas comprometidos.

En el ataque de minería de criptomonedas en curso denominado “ProxyShellMiner”, los hackers arman dos fallos de ProxyShell conocidos como CVE-2021-34473 y CVE-2021-34523 para ganar una base en el entorno corporativo.

Investigadores de ciberseguridad de Morphisec arrojan luz sobre la actividad del adversario relacionada. Después de comprometer los servidores Exchange y ganar control de la red de la organización, los adversarios despliegan una carga útil basada en .NET en la carpeta del controlador de dominio para asegurarse de que todos los dispositivos dentro del entorno afectado estén infectados. Notablemente, los servidores C2 del adversario que alojan los archivos relacionados con malware parecen ser legítimos, lo cual representa un desafío para la detección de ataques. 

ProxyShellMiner aplica cifrado sofisticado además de técnicas avanzadas de persistencia y evasión de detección. Según  la investigación de Morphisec, el malware requiere un parámetro de línea de comandos para la ejecución, utilizándose además como una clave para configurar la carga útil de XMRig, sirviendo también como una técnica anti-análisis en tiempo de ejecución. 

En la segunda fase del ataque, ProxyShellMiner descarga un archivo «DC_DLL», que se utiliza posteriormente para el descifrado de otros archivos. Luego, los actores de amenazas se aprovechan de un segundo descargador malicioso para ganar persistencia en el sistema comprometido al ejecutar una tarea programada. 

En la etapa final del ataque, los defensores cibernéticos observan el uso de técnicas de evasión de seguridad que dificultan la detección de malware. Esto se logra generando una regla de firewall que afecta los perfiles de Windows Firewall, lo cual permite a los atacantes desplegar sin problemas el minero XMrig aprovechando la técnica RunPE comúnmente utilizada por los adversarios.

Los defensores cibernéticos afirman que las infecciones de ProxyShellMiner pueden ser muy peligrosas para el entorno de las organizaciones y no deben tomarse a la ligera, ya que, al obtener acceso a la red comprometida, los atacantes reciben luz verde para propagar más cepas maliciosas y aprovechar el túnel inverso para dañar aún más la infraestructura. 

¿Buscando una herramienta universal para agilizar la traducción de tu código de detección a múltiples plataformas y optimizar tus búsquedas basadas en IOC? Prueba la nueva versión de SOC Prime’s Uncoder.IO, que permite convertir automáticamente reglas Sigma a más de 27 soluciones SIEM, EDR y XDR, así como crear consultas IOC personalizadas en cuestión de segundos para buscar amenazas en tu entorno. Tanto ingenieros de seguridad experimentados como aspirantes también pueden utilizar la herramienta para pulir sus reglas Sigma con verificaciones automatizadas integradas y compartir fácilmente la lógica de detección con la comunidad de defensores cibernéticos para impulsar la colaboración en la industria.