ProxyShellMiner検出: Windows ExchangeサーバーのCVE-2021-34473およびCVE-2021-34523 ProxyShell脆弱性を悪用した新しい暗号マイニング攻撃

警戒を怠らないでください！ 脅威アクターが再びMicrosoft Windows Exchangeサーバーに目を向け、悪名高い ProxyShellの脆弱性を悪用してそれらを侵害しようとしています。サイバーセキュリティの研究者たちは、「ProxyShellMiner」と呼ばれる新たな回避型の悪意あるキャンペーンを観察しました。これは、CVE-2021-34473およびCVE-2021-34523として追跡されている2つのMicrosoft Exchange ProxyShellの脆弱性を利用して、暗号通貨マイナーを配信します。

Microsoft Exchange ProxyShellの脆弱性を悪用したProxyShellMiner攻撃を検出

暗号通貨マイニング攻撃のボリュームが増加し続けている中、組織はサイバー防御能力を強化する新しい方法を模索しています。CVE-2021-34473およびCVE-2021-34523として追跡されているProxyShellの脆弱性を悪用する最新のProxyShellMinerキャンペーンは、高度な検出回避技術を適用し、マルウェアの展開からコードの実行まで、幅広い攻撃能力を試行できるようにして、侵害された組織に深刻な脅威を与えます。

組織が環境内での感染の存在をタイムリーに特定できるようにするため、SOC PrimeのDetection as Codeプラットフォームは最近、ProxyShellMinerの暗号通貨マイニング攻撃を検出するための新しいSigmaルールを提供しました。

ファイル関連イベントを通じて関連ファイルを検出することにより、CVE-2021-34473およびCVE-2021-34523[ProxyShell]脆弱性を悪用する可能性のあるProxyShellMinerキャンペーン

当社の多数の脅威バウンティ開発者によって書かれたこのSigmaルールは、 Aytek Aytemurによるもので、ProxyShellの脆弱性を悪用するProxyShellMinerキャンペーンに関連する悪意あるファイルを検出します。この検出は、 MITRE ATT&CKフレームワークv12に整合し、ユーザー実行（T1204）を主な手法として適用する実行戦術に対応しています。このSigmaルールは、クロスプラットフォームの脅威検出を数秒縮めるために、20種類のSIEM、EDR、およびXDRソリューションに自動的に翻訳されます。

SigmaルールとATT&CKハードスキルをマスターし、業界ピアの中で認知度を高めたいですか？ Threat Bounty Program に参加して、将来の履歴書を作成し、コミュニティとSigmaルールを共有し、貢献を収益化することで検出エンジニアリングキャリアをスタートさせたり、サイバーセキュリティで自己向上したりできます。

進行中のProxyShellの悪用試行を検出するためのコンテンツを完全に備えるために、SOC Primeは専用のSigmaルールセットをキュレートしています。以下のボタンをクリックして、CVE-2021-34473およびCVE-2021-34523の脆弱性エクスプロイト検出に対応するカスタムタグでフィルタリングされたコンテンツにアクセスしてください。すべてのSigmaルールはCTIで強化され、ATT&CKの参照を提供し、スムーズな脅威の調査を促進するための関連操作メタデータを提供します。

CVE-2021-34473の検出を探索 CVE-2021-34523の検出を探索

ProxyShellMinerの暗号マイニング攻撃分析

ProxyShell は、連鎖することで、ターゲットとなるMicrosoft Windows ExchangeサーバーでRCEを実行することを可能にする3つのセキュリティの欠陥の総称です。これらの脆弱性は明るみに出て、Microsoftによって2021年にパッチが適用されました。しかし、その後、サイバー防御者は、影響を受けたExchangeサーバーを無力化しようとする多様な悪用試行を観察してきました。ProxyShellの脆弱性を利用した一連の高度な攻撃のように 侵害されたシステムにウェブシェルを投入する.

進行中の「ProxyShellMiner」と呼ばれる暗号通貨マイニング攻撃では、ハッカーはCVE-2021-34473およびCVE-2021-34523として知られる2つのProxyShellのバグを武器化して企業環境に足場を築きます。

Morphisecのサイバーセキュリティ研究者 は、関連する敵対者の活動を明らかにしました。Exchangeサーバーを侵害して組織のネットワークを制御した後、敵対者は.NETベースのペイロードをドメインコントローラーのフォルダーに展開し、影響を受けた環境内のすべてのデバイスが感染していることを確認します。注目すべきは、マルウェア関連のファイルをホストしている敵対者のC2サーバーが合法であるように見えるため、攻撃の検出が難しいという点です。

ProxyShellMinerは、高度な持続性および検出回避技術に加えて、洗練された暗号化を適用します。Morphisecの調査によると、マルウェアは実行にコマンドラインパラメータを必要とし、それをキーとしてXMRigペイロードを構成するために使用し、ランタイム解析防止手法としても役立っています。

攻撃の第2段階では、ProxyShellMinerは「DC_DLL」ファイルをダウンロードし、それをさらに他のファイルの復号化に使用します。次に、攻撃者はスケジュールされたタスクを実行して、侵害されたシステムで持続性を獲得するために2番目の悪意あるダウンローダーを利用します。

最終段階では、サイバー防御者はマルウェアの検出を妨げるセキュリティ回避手法を観察しています。これにより、Windowsファイアウォールプロファイルに影響を与えるファイアウォールルールが生成され、攻撃者は一般的に使用される敵対者のRunPE技術を活用してXMrigマイナーをシームレスに導入することができます。

サイバー防御者たちは、ProxyShellMinerの感染が組織の環境に非常に危険である可能性があり、当たり前のこととして受け入れるべきではないと述べています。侵害されたネットワークにアクセスした後、攻撃者はより多くの悪意ある系統を広げ、リバーストンネリングを活用することでインフラをさらに破壊するためのグリーンライトを得ます。

複数のプラットフォームへの検出コード翻訳を合理化し、IOCベースのハントを合理化するためのユニバーサルツールをお探しですか？SOC Primeの新しいバージョンを試してください。 Uncoder.IO、これはSigmaルールを27以上のSIEM、EDR、およびXDRソリューションに自動的に変換し、数秒でカスタムIOCクエリを作成して環境内の脅威を検索できます。経験豊富なセキュリティエンジニアと新進気鋭のセキュリティエンジニアの両方が、内蔵の自動チェックを利用してSigmaルールを磨き、サイバー防御コミュニティと検出ロジックをシームレスに共有し、業界のコラボレーションを推進することもできます。