سرورهای آسیب‌پذیر Exchange؛ هدف حمله باج‌افزار Babuk

روابط عمومی

3 سال پیش

اخیراً محققان سیسکو (.Cisco Systems, Inc)، کارزاری مخرب را شناسایی نمودند که با سوءاستفاده از مجموعه ضعف‌های امنیتی ProxyShell در سرورهای Exchange در حال نفوذ به شبکه‌های سازمانی و آلوده کردن قربانیان به باج‌افزار Babuk می‌باشند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، حملات مذکور مورد بررسی قرار گرفته است.

بهره‌جویی از مجموعه ضعف‌های امنیتی ProxyShell علیه سرورهای آسیب‌پذیر Exchange از چندین ماه گذشته آغاز شده و LockFile و Conti اولین باج‌افزارهایی بودند که از ضعف‌های امنیتی مذکور سوءاستفاده کردند.

مهاجمان در این کارزار که برای اولین بار توسط محققان در 12 اکتبر شناسایی شده از ضعف‌های امنیتی ProxyShell جهت استقرار Babuk سوءاستفاده نموده و سرورهای آسیب‌پذیر Exchange را مورد هدف قرار می‌دهند.

ProxyShell به مجموعه سه آسیب‌پذیری زیر که در سرورهای Exchange وجود دارد، اطلاق می‌شود که مهاجمان می‌توانند برای دور زدن احراز هویت و اجرای کد به ‌عنوان یک کاربر ممتاز از آن‌ها سوءاستفاده کنند.

CVE-2021-34473 که ضعفی از نوع “اجرای کد به ‌صورت از راه دور” (Remote Code Execution – به اختصار RCE) است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.
CVE-2021-34523 که ضعفی از نوع “ترفیع امتیازی” (Elevation of Privilege) است. این آسیب‌پذیری نیز در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.
CVE-2021-31207 که ضعفی از نوع “عبور از سد کنترل‌های امنیتی” (Security Feature Bypass) است و در ۲۱ اردیبهشت ۱۴۰۰ توسط مایکروسافت وصله شد.

این گروه از مهاجمان در کارزار مذکور به دلیل نام فایل‌های اجرایی مخرب (Payload) بکارگرفته شده در آن (Tortilla.exe)، Tortilla نامیده شده‌اند. طبق گزارش محققان سیسکو، Tortilla یکی از همکاران Babuk است و اقدام به نصب و استفاده از پوسته وبی (Web shell) تحت عنوان China Chopper بر روی سرورهای هک شده Exchange کرده است. China Chopper اسکریپت مخربی است که بر روی سیستم قربانی بارگذاری می‌شود به مهاجمان اجازه مدیریت از راه دور، توسعه آلودگی در شبکه و ماندگاری در سیستم‌های آلوده را فراهم می‌کند. نمونه‌ای از China Chopper در لینک زیر قابل مشاهده است:

https://gist.github.com/KyleHanslovan/6e90e8b05a96fa153dc347f89c4876c8

محققان با شناسایی این کارزار به بررسی چگونگی حمله، دستکاری و استقرار باج‌افزار توسط مهاجمان جدید Babuk پس از افشای کد منبع (Source Code) در ماه سپتامبر پرداخته‌اند. مشروح گزارش افشای کدهای این باج‌افزار در افشای کدهای برنامه‌نویسی باج‌افزار Babuk و خبر خوش برای قربانیان سه باج‌افزار قابل مطالعه است.

مهاجمان حمله را معمولاً با یک ماژول اجرایی مستقل و دانلود کننده (Downloader) با فرمت DLL در سرور قربانی آغاز می‌کنند. دانلود کننده DLL، توسط پروسه والد w3wp.exe که پروسه‌ای از نوع Exchange IIS Worker است، اجرا می‌شود. دانلود کننده مذکور یک (کد بهره‌جو) Exploit تغییر یافته از نوع EfsPotato برای هدف قرار دادن آسیب‌پذیری‌های proxyshell و PetitPotam است.

پروسه دانلود کننده، فرمانی مبهم‌سازی شده که در PowerShell تعبیه شده را برای اتصال و دانلود یک ماژول دانلود‌کننده بسته‌بندی شده از زیرساخت مهاجمان اجرا می‌کند. همچنین از طریق فرمان PowerShell، قابلیت AMSI در سیستم‌عامل غیرفعال شده و حفاظت نقاط پایانی به نحوی بی‌اثر میشود. سرور دانلود نیز در دامنه‌های مخرب fbi[.]fund و xxxs[.]info میزبانی می‌شود. ماژول راه‌انداز (Loader) بسته‌بندی شده اولیه حاوی منابع NET. رمزگذاری شده در قالب Bitmap است.

محتوای رمزگشایی شده، کدهای (Payload) واقعی باج‌فزار Babuk است. برای رمزگشایی و باز کردن کدهای مذکور، راه‌انداز به یک URL در pastebin.pl که حاوی ماژول Unpacker میانی است، متصل می‌شود.

ماژول Unpacker، کدهای جاسازی شده Babuk را در حافظه رمزگشایی کرده و آن را به پروسه جدید ایجاد شده به نام AddInProcess32 تزریق می‌کند. ماژول باج‌افزار Babuk در پروسه AddInProcess32 اجرا شده، پروسه‌های در حال اجرا بر روی سرور قربانی را شناسایی نموده و تلاش می‌کند تعدادی از پروسه‌های مربوط به نسخه پشتیبان محصولاتی نظیر سرویس پشتیبان Veeam را غیرفعال کند.

همچنین با استفاده از ابزار vssadmin، رونوشت‌های Volume Shadow Service – به اختصار VSS – را از سرور حذف می‌کند تا مطمئن شود فایل‌های رمزگذاری شده را نمی‌توان از نسخه‌های پشتیبان VSS بازیابی کرد.

ماژول باج‌افزار، فایل‌های موجود در سرور قربانی را رمزگذاری می‌کند و پسوند فایل babyk. را به فایل‌های رمزگذاری شده اضافه می‌کند. این مهاجمان از قربانی می‌خواهند 10 هزار دلار امریکا برای به دست آوردن کلید رمزگشایی و بازیابی فایل‌های خود بپردازد.

معمولاً اگر یک فایل اجرایی، پروسه w3wp (IIS Worker Process در Exchange) را به عنوان پروسه والد داشته باشد، به این معنی است که مهاجمان از مجموعه ضعف‌های امنیتی ProxyShell در سرورهای Exchange سوءاستفاده کرده‌اند.

تحلیلگران سیسکو شواهدی مبنی بر سوءاستفاده از ضعف‌های امنیتی ProxyShell در اکثر حملات، به ویژه نصب پوسته وب China Chopper در سیستم‌های آلوده پیدا کرده‌اند. در حقیقت، China Chopper فرمان دانلود اولیه را اجرا کرده است. بررسی محققان نشان می‌دهد که زیرساخت مهاجمان در تلاش برای بهره‌برداری از طیف وسیعی از آسیب‌پذیری‌ها و اجرای ماژول‌های DLL و NET. در محصولات دیگری نظیر آنچه در زیر اشاره شده نیز می‌باشند:

Microsoft Exchange autodiscover server side request forgery attempt (57907)
Atlassian Confluence OGNL injection remote code execution attempt (58094)
Apache Struts remote code execution attempt (39190, 39191)
WordPress wp-config.php access via directory traversal attempt (41420)
SolarWinds Orion authentication bypass attempt (56916)
Oracle WebLogic Server remote command execution attempt (50020)
Liferay arbitrary Java object deserialization attempt (56800)

مهاجمان Babuk، در اوایل سال میلادی 2021 و در پی اجرای چندین حمله موفق باج‌افزاری، رمزگذاری فایل‌ها و اخاذی از سازمان‌ها در کشورهای مختلف، مورد توجه رسانه‌ها و محققان امنیتی قرار گرفتند. میانگین مبلغ اخاذی شده که در قالب بیت‌کوین باید به مهاجمان پرداخت می‌شد بین ۶۰ تا ۸۵ هزار دلار بوده است. با این حال در برخی موارد این مبلغ به صدها هزار دلار نیز رسیده است.

از جمله معروف‌ترین قربانیان این باج‌افزار می‌توان به اداره پلیس واشنگتن اشاره کرد که به نظر می‌رسد آخرین حمله بزرگ آنها پیش از خروج موقت از کسب‌وکار باج‌افزارها، باشد. پس از حمله به اداره پلیس واشنگتن و اعمال فشار نهادهای قانونی ایالات متحده، مهاجمان باج‌افزاری اعلام کردند که عملیات خود را تعطیل کرده‌اند.

مدتی قبل، کد منبع کامل باج‌افزار Babuk در یکی از تالارهای گفتگوی هکرهای روسی زبان توسط یکی از مهاجمان که ادعا می‌کرد عضوی از اعضای گروه Babuk است و به نوعی سرطان علاج‌ناپذیر مبتلاست، فاش شد. پس از افشای کد منبع اولین نسخه از باج‌افزار Babuk در انجمن‌های هک، سایر مهاجمان شروع به استفاده از باج‌افزار برای انجام حملات خود کردند.

مشخص نیست که آیا Tortilla در زمانی که RaaS فعال بود، یکی از زیرمجموعه‌های Babuk بوده یا برای انجام حملات جدید از این کد استفاده کرده‌اند.

با این حال، از آنجایی که باج‌افزار اخیر در این حملات کمتر از 10 هزار دلار امریکا به مونرو (Monero) درخواست نموده است، احتمالاً توسط مهاجمان اصلی Babuk، که باج‌بسیار بیشتری به بیت‌کوین درخواست کرده بودند، انجام نمی‌شود.

این کارزار با بکارگیری انواع مختلفی از باج‌افزار Babuk، عمدتاً کاربرانی از ایالات متحده و با تعداد کمتری در بریتانیا، آلمان، اوکراین، فنلاند، برزیل، هندوراس و تایلند را تحت تاثیر قرار داده‌‌اند.

اخیراً نیز رمزگشایی برای قربانیان باج‌افزار Babuk توسط محققان آواست (Avast Software s.r.o) منتشر شده بود، که تنها قربانیانی می‌توانند برای رمزگشایی فایل‌های خود از آن استفاده کنند که کلیدهای خصوصی آنها بخشی از نشت کد منبع بوده است.

بنابراین با افشاء و در دسترس بودن کدهای منبع این باج‌افزار، مهاجمان تازه‌کاری همچون Tortilla نیز می‌توانند با بکارگیری انواع مختلفی از Babuk حملات خود را مانند آنچه در کارزار اخیر مشاهده شده، ادامه دهند.

بررسی حملات توسط محققان سیسکو نشان‌ می‌دهد که Tortilla از اوایل جولای شروع به کار کرده است و نسبتاً تازه‌کار محسوب می‌شود. دارای مهارت‌های کم و متوسطی هستند، کدهای مخرب مختلفی را برای دستیابی و حفظ دسترسی از راه دور به سیستم‏‌های آلوده آزمایش کرده‌اند. همچنین درک مناسبی از مفاهیم امنیتی داشته و توانایی ایجاد تغییرات جزئی در بدافزارهای موجود و ابزارهای امنیتی تهاجمی دارند.

از آنجایی که در حملات اخیر از آسیب‌پذیری‌های مذکور سوءاستفاده شده، اکیداً توصیه می‌شود که همه مدیران و راهبران امنیتی در اسرع وقت سرورهای خود را به آخرین نسخه ارتقا داده و اقدام به نصب آخرین به‌روز‌رسانی‌ها و اصلاحیه‌های امنیتی نمایند تا از حملات مهاجمان در امان باشند.

مشروح گزارش شرکت سیسکو در نشانی زیر قابل مطالعه است:

https://blog.talosintelligence.com/2021/11/babuk-exploits-exchange.html

منابع: