گروه باجافزاری Conti با سوءاستفاده از آسیبپذیریهای ProxyShell، سرورهای Exchange را هک کرده و به شبکه سازمانها نفوذ میکند.
ProxyShell به مجموعه سه آسیبپذیری زیر اطلاق میشود:
- CVE-2021-34473 که ضعفی از نوع “اجرای کد به صورت از راه دور” (Remote Code Execution – به اختصار RCE) است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.
- CVE-2021-34523 که ضعفی از نوع “ترفیع امتیازی” (Elevation of Privilege) است. این آسیبپذیری نیز در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.
- CVE-2021-31207 که ضعفی از نوع “عبور از سد کنترلهای امنیتی” (Security Feature Bypass) است و در ۲۱ اردیبهشت ۱۴۰۰ توسط مایکروسافت وصله شد.
جزییات سه آسیبپذیری مذکور توسط یک محقق امنیتی در جریان مسابقات هک Pwn2Own در آوریل ۲۰۲۱ افشا شد. در ماههای اخیر مهاجمان از آسیبپذیریهای ProxyShell برای نصب Webshell، دربهای پشتی (Backdoor) و استقرار باجافزار LockFile استفاده کردهاند.
محققان شرکت سوفوس (Sophos Ltd) نیز پس از تحلیل یکی از حملات اخیر مهاجمان Conti، دریافتند که مهاجمان در ابتدا با سوءاستفاده از آسیبپذیریهای ProxyShell، اقدام به هک سرورهای Exchange و نفوذ به شبکه قربانی کردهاند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده چکیدهای از یافتههای محققان سوفوس ارائه شده است.
در اکثر حملات به سروهای Exchange، مهاجمان ابتدا از کدهای Webshell برای اجرای فرامین، دانلود نرمافزار و سپس آلودهسازی سرور استفاده میکنند. به نقل از تیم تحقیقاتی سوفوس، همانطور که در کتابچه راهنمای Conti به تازگی فاش شده است (لینک زیر)، هنگامی که مهاجمان کنترل کامل سرور را در اختیار میگیرند به سرعت تاکتیکهای معمول خود را اجرا میکنند.
https://newsroom.shabakeh.net/22539/translated-conti-playbook-insight-into-attacks.html
این روال شامل کشف فهرست کامپیوترها و کاربران با سطح دسترسی Domain Admin، بهرهگیری LSASS جهت استخراج اطلاعات اصالتسنجی کاربران با سطح دسترسی بالا از حافظه و گسترش دامنه نفوذ در سراسر شبکه میباشد. مهاجمان جهت دسترسی از راه دور به دستگاهها، از چندین ابزار همچون AnyDesk و Cobalt Strike استفاده میکنند.
در تصویر زیر فهرستی از ابزارهایی که باجافزار Conti در هر یک از مراحل این حمله از آن استفاده نموده، مشاهده میشود.
بررسی محققان سوفوس نشان میدهد، مهاجمان پس از استقرار در شبکه، دادهها را سرقت کرده و آنها را در MEGA (یک سامانه اشتراکی فایل) بارگذاری کردند. پس از پنج روز، آنها با استفاده از فرامین زیر بر روی یک سرور فاقد ضدویروس، اقدام به رمزگذاری فایلهای دستگاههای متصل به شبکه نمودند.
سوفوس در گزارش خود اعلام نموده که آنچه این مورد خاص را برجسته میکند، سرعت و دقت مهاجمان در انجام این حمله بوده است، به طوری که نفوذ اولیه تا سرقت 1 ترابایت داده، تنها ظرف 48 ساعت انجام شد. پس از گذشت پنج روز، مهاجمان باجافزار Conti را روی تمام دستگاههای شبکه نصب کردند. همچنین فایلهای ذخیره شده در پوشههای اشتراکی را بر روی هر کامپیوتر مورد حمله قرار دادند.
در طول نفوذ، مهاجمان Conti حداقل هفت درب پشتی را در شبکه مورد استفاده قرار دادند؛ دو Webshell،وCobaltStrike و چهار ابزار دسترسی از راه دور تجاری (AnyDesk ،Atera ،Splashtop و Remote Utilities).
کدهای Webshell در اوایل نفوذ نصب شده و عمدتاً برای دسترسی اولیه مورد استفاده قرار گرفتند، در حالی که Cobalt Strike و Any Desk ابزارهای اصلی بودند که در جریان این حمله از آنها بهره گرفته شده بود.
هنگامی که حملات با سوءاستفاده از ProxyShell صورت میگیرد، مهاجمان با درخواستهایی نظیر نمونه زیر، سرویس Autodiscover را مورد هدف قرار میدهند.
برای آگاهی از اینکه آیا سرور Exchange شما مورد هدف قرار گرفته است، میتوانید لاگهای ورودی IIS مربوط به درخواستهای “/autodiscover/autodiscover.json” را که در آنها به ایمیلهای عجیب یا ناشناختهای اشاره شده، مورد بررسی قرار دهید.
در حمله باجافزاری Conti که توسط سوفوس تحلیل شده، مهاجمان همانند آنچه در تصویر نشان داده شده، از ایمیل evil.corp@ استفاده کرده بودند، که این به وضوح تلاشهایی را جهت سوءاستفاده از ضعف امنیتی آشکار میکرد.
بدون شک، در حال حاضر آسیبپذیریهای ProxyShell، توسط طیف وسیعی از مهاجمان مورد سوءاستفاده قرار میگیرد. توصیه میشود راهبران سرورهای Exchange، نصب آخرین اصلاحیههای امنیتی و بهروزرسانیهای موسوم به Cumulative Update – به اختصار CU – را جهت ایمن ماندن از گزند حملات مبتنی بر ضعفهای امنیتی Exchange نظیر ProxyShell و ProxyToken در اولویت خود قرار دهند.
مشروح گزارش سوفوس در لینک زیر قابل مطالعه است: