Détection ProxyShellMiner : Attaques de Crypto-Mining Innovantes Exploitant les Vulnérabilités ProxyShell CVE-2021-34473 et CVE-2021-34523 dans les Serveurs Exchange Windows

Restez vigilant ! Les acteurs menaçants ciblent à nouveau les serveurs Microsoft Windows Exchange, tentant de les compromettre en exploitant les célèbres vulnérabilités ProxyShell. Les chercheurs en cybersécurité ont observé une nouvelle campagne malveillante évasive appelée « ProxyShellMiner » qui exploite deux failles ProxyShell de Microsoft Exchange répertoriées comme CVE-2021-34473 et CVE-2021-34523 pour livrer des mineurs de cryptomonnaie. 

Détecter les attaques ProxyShellMiner exploitant les vulnérabilités ProxyShell de Microsoft Exchange

Avec les volumes constamment croissants d’attaques de crypto-minage, les organisations recherchent de nouvelles façons de renforcer leurs capacités de défense cyber. La dernière campagne ProxyShellMiner abusant des failles ProxyShell répertoriées comme CVE-2021-34473 et CVE-2021-34523 applique des techniques sophistiquées d’évasion de détection et pose une menace sévère aux organisations compromises, permettant aux acteurs menaçants d’expérimenter une large gamme de capacités offensives, allant du déploiement de logiciels malveillants à l’exécution de code. 

Pour aider les organisations à identifier en temps opportun la présence d’une infection dans leur environnement, la plateforme Detection as Code de SOC Prime a récemment livré une nouvelle règle Sigma pour détecter les attaques de crypto-minage ProxyShellMiner :

Possible campagne ProxyShellMiner exploitant les vulnérabilités CVE-2021-34473 et CVE-2021-34523 [ProxyShell] en détectant les fichiers associés (via file_event)

Cette règle Sigma, écrite par notre développeur prolifique Threat Bounty, Aytek Aytemur, détecte les fichiers malveillants liés à une campagne ProxyShellMiner abusant des vulnérabilités ProxyShell. La détection est alignée sur le cadre MITRE ATT&CK v12, en abordant la tactique d’Exécution avec une exécution utilisateur (T1204) appliquée comme technique principale. La règle Sigma peut être automatiquement traduite en 20 solutions SIEM, EDR, et XDR, réduisant ainsi à quelques secondes la détection des menaces sur plusieurs plateformes.

Vous cherchez des moyens de maîtriser vos règles Sigma et vos compétences ATT&CK et d’obtenir la reconnaissance de vos pairs dans l’industrie ? Rejoignez le programme Threat Bounty pour coder votre futur CV, vous permettant de commencer une carrière en ingénierie de détection ou de vous perfectionner en cybersécurité en partageant vos règles Sigma avec la communauté et en monétisant vos contributions. 

Pour être pleinement équipé de contenu pour détecter les tentatives d’exploitation en cours de ProxyShell, SOC Prime organise un ensemble de règles Sigma dédiées. Cliquez sur les boutons ci-dessous pour accéder au contenu pour la détection des vulnérabilités CVE-2021-34473 et CVE-2021-34523, filtré par les balises personnalisées correspondantes. Toutes les règles Sigma sont enrichies de CTI, fournissent des références ATT&CK, et offrent des métadonnées opérationnelles pertinentes pour favoriser une investigation des menaces simplifiée.

Explorer les détections pour CVE-2021-34473 Explorer les détections pour CVE-2021-34523

Analyse des attaques de crypto-minage ProxyShellMiner

ProxyShell est un titre pour un trio de failles de sécurité qui, si elles sont enchaînées, permettent aux adversaires de réaliser des RCE sur les serveurs Microsoft Windows Exchange ciblés. Ces vulnérabilités ont été découvertes et corrigées par Microsoft en 2021. Cependant, depuis lors, les défenseurs cyber connaissent diverses tentatives d’exploitation visant à paralyser les serveurs Exchange affectés, comme dans la série d’attaques sophistiquées exploitant les vulnérabilités ProxyShell pour larguer des web shells sur les systèmes compromis.

Dans l’attaque de crypto-minage en cours appelée « ProxyShellMiner », les pirates utilisent deux bugs ProxyShell connus sous le nom de CVE-2021-34473 et CVE-2021-34523 pour prendre pied dans l’environnement de l’entreprise.

Les chercheurs en cybersécurité de Morphisec ont éclairé l’activité des adversaires concernés. Après avoir compromis les serveurs Exchange et pris le contrôle du réseau de l’organisation, les adversaires déploient une charge utile basée sur .NET dans le dossier du contrôleur de domaine pour s’assurer que tous les appareils au sein de l’environnement affecté soient infectés. Notamment, les serveurs de commande C2 de l’adversaire hébergeant les fichiers liés aux logiciels malveillants semblent légitimes, ce qui pose un défi à la détection des attaques. 

ProxyShellMiner applique un cryptage sophistiqué en plus de techniques avancées de persistance et d’évasion de la détection. Selon  l’enquête de Morphisec, les logiciels malveillants nécessitent un paramètre en ligne de commande pour s’exécuter, étant ensuite utilisés comme clé pour configurer le chargement XMrig, servant également de technique d’analyse anti-runtime. 

Dans la deuxième phase de l’attaque, ProxyShellMiner télécharge un fichier « DC_DLL », qui est ensuite utilisé pour le déchiffrement d’autres fichiers. Ensuite, les acteurs menaçants utilisent le deuxième téléchargeur malveillant pour obtenir une persistance sur le système compromis en exécutant une tâche planifiée. 

À l’étape finale de l’attaque, les défenseurs cyber remarquent l’utilisation de techniques d’évasion de sécurité qui entravent la détection des logiciels malveillants. Cela est réalisé en générant une règle de pare-feu affectant les profils du Pare-feu Windows, ce qui permet aux attaquants de larguer sans difficulté le mineur XMrig en utilisant couramment la technique RunPE des adversaires.

Les défenseurs cyber affirment que les infections ProxyShellMiner pourraient être hautement dangereuses pour l’environnement des organisations et ne devraient pas être prises à la légère, puisque après avoir accédé au réseau compromis, les attaquants reçoivent carte blanche pour propager d’autres souches malveillantes et utiliser le tunelage inversé pour paralyser davantage l’infrastructure. 

Vous cherchez un outil universel pour simplifier la traduction de votre code de détection sur plusieurs plateformes et rationaliser vos chasses basées sur les IOC ? Essayez la nouvelle version de Uncoder.IO, qui permet de convertir automatiquement des règles Sigma en 27+ solutions SIEM, EDR, et XDR, ainsi que de créer des requêtes IOC personnalisées en quelques secondes pour rechercher des menaces dans votre environnement. Les ingénieurs en sécurité expérimentés et en herbe peuvent également utiliser l’outil pour peaufiner leurs règles Sigma avec des vérifications automatisées intégrées et partager sans effort la logique de détection avec la communauté des défenseurs cyber pour encourager la collaboration dans l’industrie.