سوءاستفاده باج‌افزار Conti از ProxyShell

بررسی‌ها نشان می‌دهد، گردانندگان Conti با سوء‌استفاده از آسیب‌پذیری‌های ProxyShell در سرورهای Exchange در حال نفوذ به شبکه قربانیان خود هستند.
به گزارش مرکز مدیریت راهبردی افتا، ProxyShell به مجموعه سه آسیب‌پذیری زیر اطلاق می‌شود:

  •     CVE-۲۰۲۱-۳۴۴۷۳ که ضعفی از نوع Remote Code Execution است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.
  •     CVE-۲۰۲۱-۳۴۵۲۳  که ضعفی از نوع Elevation of Privilege است. این آسیب‌پذیری نیز در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.
  •     CVE-۲۰۲۱-۳۱۲۰۷ که ضعفی از نوع Security Feature Bypass است و در ۲۱ اردیبهشت ۱۴۰۰ توسط مایکروسافت وصله شد.

جزئیات این سه آسیب‌پذیری توسط یک محقق امنیتی در جریان مسابقات هک Pwn۲Own در آوریل ۲۰۲۱ افشا شد. در ماه‌های اخیر مهاجمان از آسیب‌پذیری‌های ProxyShell برای نصب Webshell، Backdoor و استقرار باج‌افزار LockFile استفاده کرده‌اند.
محققان شرکت Sophos نیز پس از تحلیل یکی از حملات اخیر مهاجمان Conti، دریافتند که مهاجمان در ابتدا با سوءاستفاده از آسیب‌پذیری‌های ProxyShell، به هک سرورهای Exchange و نفوذ به شبکه قربانی اقدام کرده‌اند.
 در اکثر حملات به سروهای Exchange، مهاجمان ابتدا از کدهای Webshell برای اجرای فرمان‌ها، دانلود نرم‌افزار و سپس آلوده‌سازی سرور استفاده می‌کنند. به نقل از تیم تحقیقاتی Sophos، همان‌طور که در کتابچه راهنمای Conti به‌تازگی فاش شده است، هنگامی که مهاجمان کنترل کامل سرور را در اختیار می‌گیرند به‌سرعت تاکتیک‌های معمول خود را اجرا می‌کنند. این روال شامل کشف فهرست کامپیوترها و کاربران با سطح دسترسی Domain Admin، بهره‌گیری LSASS جهت استخراج اطلاعات هویتی کاربران با سطح دسترسی بالا از حافظه و گسترش دامنه نفوذ در سراسر شبکه می‌باشد. مهاجمان جهت دسترسی از راه دور به دستگاه‌ها، از چندین ابزار همچون AnyDesk و Cobalt Strike استفاده می‌کنند.
در تصویر زیر فهرستی از ابزارهایی که باج‌افزار Conti در هر یک از مراحل حمله از آن استفاده کرده، مشاهده می‌شود.

شکل ۱: فهرست ابزارهای مورد استفاده Contiبررسی محققان Sophos نشان می‌دهد، مهاجمان پس از استقرار در شبکه، داده‌ها را سرقت کرده و آن‌ها را در MEGA (سامانه‌ای جهت اشتراک فایل) بارگذاری کرده بودند. پس از پنج‌روز نیز با استفاده از فرمان‌های زیر بر روی یک سرور فاقد ضد‌ویروس، اقدام به رمزگذاری فایل‌های دستگاه‌های متصل به شبکه کردند.

 سوفوس در گزارش خود اعلام نموده است که آنچه این مورد خاص را برجسته می‌کند، سرعت و دقت مهاجمان در انجام این حمله بوده است، به‌طوری‌که نفوذ اولیه تا سرقت ۱ ترابایت داده تنها ظرف ۴۸ ساعت انجام شده است. پس از گذشت پنج‌روز، مهاجمان باج‌افزار Conti را روی تمام دستگاه‌های شبکه نصب کردند. همچنین فایل‌های ذخیره شده در پوشه‌های اشتراکی را بر روی هر کامپیوتر مورد حمله قرار دادند.
در طول نفوذ، مهاجمانConti  حداقل هفت Backdoor را در شبکه مورداستفاده قرار دادند؛ دو Webshell، Cobalt Strike و چهار ابزار دسترسی از راه دور تجاری (AnyDesk، Atera، Splashtop و Remote Utilities).
کدهای Webshell در اوایل نفوذ نصب شده و عمدتاً برای دسترسی اولیه مورداستفاده قرار گرفتند؛ درحالی‌که Cobalt Strike و Any Desk ابزارهای اصلی بودند که در جریان این حمله از آنها بهره گرفته شده بود. 
هنگامی که حملات با سوءاستفاده از ProxyShell صورت می‌گیرد، مهاجمان با درخواست‌هایی نظیر نمونه زیر، سرویس Autodiscover را مورد هدف قرار می‌دهند.

 برای آگاهی از اینکه آیا سرور Exchange مورد هدف قرار گرفته است یا نه، می‌توان لاگ‌های ورودی IIS مربوط به درخواست‌های “/autodiscover/autodiscover.json” را که در آنها به ایمیل‌‎های عجیب یا ناشناخته‌ای اشاره شده است، مورد بررسی قرارداد.
در حمله باج‌افزاری Conti که توسط سوفوس تحلیل شده است، مهاجمان همانند آنچه در تصویر نشان‌داده‌شده، از ایمیل @evil.corp استفاده کرده بودند که این به‌وضوح تلاش‌هایی را برای سوء‌استفاده از ضعف امنیتی آشکار می‌کرد.

شکل ۲: استفاده از ایمیل @evil.corp در جریان حمله باج‌افزاری Contiبدون شک، در حال حاضر آسیب‌پذیری‌های ProxyShell، توسط طیف وسیعی از مهاجمان مورد سوءاستفاده قرار می‌گیرد. کارشناسان مرکز راهبردی افتا توصیه کردند، راهبران سرورهای Exchange، نصب آخرین اصلاحیه‌های امنیتی و به‌روزرسانی‌های موسوم به Cumulative Update – به‌اختصار CU – را جهت ایمن ماندن از گزند حملات مبتنی بر ضعف‌های امنیتی Exchange نظیر ProxyShell و ProxyToken در اولویت خود قرار دهند.
مشروح گزارش سوفوس در لینک زیر قابل‌مطالعه است:

https://www.bleepingcomputer.com/news/security/conti-ransomware-now-hacking-exchange-servers-with-proxyshell-exploits

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.