摘要
⚠ 2021 年 3 月 2 日,Microsoft 發出了一份安全公告與緊急修補更新來解決多個目前正遭受猛烈攻擊的 Microsoft Exchange Server 企業內版本零時差漏洞。
受影響的 Microsoft Exchange Server 版本包括:2010 (EOL)、2013、2016 以及 2019。
關於這項攻擊
公告中所指出的四個重大漏洞包括了一個可讓駭客入侵系統的網路端伺服器端請求偽造 (SSRF) 漏洞 (CVE-2021-26855),以及三個可在通過認證之後發動攻擊的本地端漏洞:CVE-2021-26857、CVE-2021-26858 及 CVE-2021-27065。
研究人員認為,駭客是藉由一連串的漏洞攻擊手法來攻擊含有這些漏洞的 Exchange Server,進而駭入企業網路、竊取機敏資訊 (如:所有的電子郵件信箱與通訊錄),並從事其他惡意活動,包括:蒐集使用者登入憑證、篡改 Active Directory、在企業內四處遊走等等。
除了閱讀 Microsoft 的安全公告以及下列文章之外,強烈建議所有可能受到影響的客戶也應參考美國「網路資安與基礎架構安全局 (Cybersecurity & Infrastructure Security Agency,簡稱 CISA) 所發布的 Alert AA21-0621A 警示來獲得進一步的指示和資訊。
詳細內容
🟥 判斷您自己是否受到影響
Microsoft 與 CISA 的公告都詳細說明了這項攻擊的入侵指標 (IOC) 以及攻擊手法、技巧與程序 (TTP)。
為了協助 Exchange 系統管理員檢查自己的伺服器是否遭到入侵,Microsoft Exchange Server 團隊特別製作了一個Script,只要在 Exchange 伺服器上執行這個Script,就能掃描記錄檔內是否有 IOC。
強烈建議使用企業內版本 Microsoft Exchange Server 2010 (或更新版本) 的客戶應立即使用 Microsoft 工具或其他類似Script來檢查自己是否受到這項攻擊的影響。
除此之外,趨勢科技的一些產品也可協助客戶檢查自己是否遭到入侵,如需更多資訊,請閱讀以下「使用趨勢科技產品來檢查環境」一節。
🟥 萬一發現入侵指標該怎麼辦?
由於駭客在入侵企業之後可能採取的後續行動因企業而異,所以,萬一客戶真的發現自己有遭到攻擊的證據,趨勢科技建議企業應指派內部人員或聘請合格的資安事件應變團隊來執行一次徹底的鑑識分析。
🟥 防範後續漏洞攻擊
首先最重要的一點是,強烈建議所有客戶應遵從 Microsoft 的指示,盡速修補企業內的 Exchange 伺服器。
除了套用廠商的修補更新之外,趨勢科技也提供了一些強化規則與過濾條件,以及額外的防護與偵測功能來防範這項攻擊的相關惡意元件,避免尚未受害的 Exchange 伺服器遭到後續的攻擊。
此外,Microsoft 也提供了一些手動防範步驟給無法立即修補系統的客戶來搭配以下趨勢科技預防措施使用。
使用趨勢科技產品來檢查環境
以下說明幾個可協助客戶調查及矯正其環境的趨勢科技產品偵測/矯正規則、過濾條件、病毒碼及技術。
Trend Micro Vision OneTM
Trend Micro Vision One 平台的客戶可使用其中的 Apex One 所提供的 XDR 偵測功能。此外,視資料的蒐集時間範圍而定,Vision One 客戶或許可掃描過去的資料看看是否有 IOC,進而發掘這段期間的潛在活動來協助調查。
尤其是,Trend Micro Vision One 客戶可利用強大的 Search App (搜尋應用程式) 功能來對端點活動資料執行所謂的資料對映 (Data Mapping) 查詢,藉由 Microsoft 提供的詳細 IOC 資訊來找尋駭客入侵的證據。
請注意,在以下所有搜尋當中,您都可以利用下列指令來將搜尋範圍縮小至特定的 Exchange 伺服器:
您的查詢 AND endpointHostName:myExchangeServer
或是您的查詢 AND endpointHostName:(myExchangeServer1 OR server2 OR server3)
尋找 c:\windows\system32\inetsrv\w3wp.exe 的子處理程序 (任何子程序,尤其是 cmd.exe)
搜尋方式:EndPoint Activity Data
processFilePath:"c:\\windows\\system32\\inetsrv\\w3wp.exe" AND objectFilePath:*processFilePath:"c:\\windows\\system32\\inetsrv\\w3wp.exe" AND objectFilePath:cmd.exe
下列查詢敘述也可達到同樣效果:
parentFilePath:w3wp.exe AND objectFilePath:cmd.exeparentFilePath:w3wp.exe AND processFilePath:*
由 w3wp.exe 或 UMWorkerProcess.exe 寫入系統的檔案
搜尋方式:EndPoint Activity Data
parentFilePath:(w3wp.exe OR UMWorkerProcess.exe) AND eventSubId:101
請注意:「eventSubId 101」代表的是檔案建立事件。
由系統 (SYSTEM) 使用者建立的 ASPX 檔案
搜尋方式:EndPoint Activity Data
objectUser:SYSTEM AND objectFilePath:*.aspx
搜尋 ASP.NET暫存檔案目錄是否出現新增、非預期的已組譯 ASPX 檔案
搜尋方式:EndPoint Activity Data
objectFilePath:("*\Temporary ASP.NET Files\*" AND \*aspx) AND eventSubId:101
請注意:這項查詢敘述有可能會出現很多「雜訊」。
搜尋駭客使用以下指令的情況:net group “Exchange Organization administrators” administrator /del /domain
搜尋方式:General
ProcessName:net.exe AND CLICommand:((localgroup OR group) AND (Exchange AND /del))
搜尋駭客可能在 Exchange 伺服器上使用 7-zip 來將資料外傳的情況
搜尋方式:General
processCmd:7z.exe AND endpointHostName:myExchangeServer
搜尋 Exchange 伺服器上是否有蒐集登入憑證的狀況
除了使用 Search App 之外,系統管理員還可以到 Vision One 主控台上的 Observed Attack Techniques (觀察到的攻擊技巧) 區段的過濾條件中鍵入:「dump」。您也可以在端點名稱欄位輸入 Exchange 伺服器名稱來縮小搜尋範圍。
如需有關 Search App 的詳細資訊,包括查詢指令的語法與資料對映,請至趨勢科技線上協助中心,此外本文也會不時提供更多新的查詢指令。
趨勢科技 Worry-Free Business Security Services
中小企業客戶以及其他使用趨勢科技 Worry-Free Business Security Services 平台的服務供應商,也可利用該產品內建的 XDR 功能來搜尋相關的指標。
Trend Micro Cloud One – Workload Security 與 Deep Security Integrity Monitoring (IM) 規則
以下這條規則可在遭到漏洞攻擊之後協助系統管理員根據 Microsoft 公告所提供的資訊來偵測已知的網站指令檔 (web shell):
- 1010855 – Microsoft Exchange – HAFNIUM Targeted Vulnerabilities
請注意,這條規則會建立一個基準點,日後若有任何變更就會發出警示,因此它所提供的資料將視規則本身的佈署時間點而異。如果在遭到入侵之前就已佈署,那它就能針對潛在的變更與偵測事件發出警示。但就算此規則是在遭到漏洞攻擊之後才佈署,它還是可以經由基準點檢視器 (baseline viewer) 提供一些重要資料,例如:監視中的檔案清單。
Trend Micro Cloud One – Network Security 與 TippingPoint Chopper Detection Filters
以下偵測規則可在遭受漏洞攻擊之後搜尋與攻擊行動的相關 Chopper 網站指令檔活動:
- 26898:Tunneling: reGeorg SOCKS Proxy Checkin Traffic
- 26899:Tunneling: reGeorg SOCKS Proxy Traffic Checkin Response
- 26900:Tunneling: reGeorg SOCKS Proxy Sending Command Traffic
- 34152:HTTP:China Chopper PHP Webshell Traffic Detected (My Script RunInBrowser Control Command)
- 34153:HTTP:China Chopper PHP Webshell Traffic Detected (Control Commands)
- 34154:HTTP:China Chopper ASP Webshell Traffic Detected (Control Commands)
- 34257:HTTP:China Chopper ASPX Webshell Traffic Detected (Control Commands)
- 35779:HTTP:China Chopper ASP/JSP Webshell Payload Detection
- 36192:HTTP:China Chopper ASP Webshell Payload Only Detection
預防性規則與過濾條件
以下規則、過濾條件和病毒碼可讓客戶搭配系統修補與其他手動步驟來防範最新或進一步的漏洞攻擊行為。
Trend Micro Cloud One – Workload Security 與 Deep Security IPS 規則
- Rule 1010854 – Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2021-26855)
Trend Micro Cloud One – Network Security 與 TippingPoint IPS 規則
- Filter 39101:HTTP:Microsoft Exchange Server-Side Request Forgery Vulnerability
趨勢科技惡意程式偵測病毒碼 (VSAPI、機器學習與行為監控)
- 這項攻擊目前已知的網站指令檔趨勢科技命名為:Backdoor.ASP.SECCHECHECKER.A;而相關的惡意工具則命名為:HackTool.PS1.PowerCat.A。
趨勢科技目前仍在積極尋找其他形式的偵測及防護方法來協助客戶對抗這項攻擊,但我們仍要再次強調,最重要還是要盡速套用 Microsoft 官方釋出的修補更新。未來請持續關注我們,一有新的防護方法,我們將立即通知客戶並更新這篇文章。
🟥參考連結
- Microsoft Exchange 遭到襲擊:我是否受到影響,下一步該怎麼做?
- Microsoft Advisory – HAFNIUM targeting Exchange Servers with 0-day exploits
- CISA Alert AA21-0621A
- Microsoft Exchange Server exploitation detection script
- Microsoft Exchange Server Vulnerabilities (manual) Mitigations
原文出處:SECURITY ALERT: Microsoft Exchange 0-Day Exploit Detection, Protection and Response