سرورهای آسیبپذیر Exchange؛ هدف حمله باجافزار Babuk
اخیراً محققان سیسکو (.Cisco Systems, Inc)، کارزاری مخرب را شناسایی نمودند که با سوءاستفاده از مجموعه ضعفهای امنیتی ProxyShell در سرورهای Exchange در حال نفوذ به شبکههای سازمانی و آلوده کردن قربانیان به باجافزار Babuk میباشند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، حملات مذکور مورد بررسی قرار گرفته است.
بهرهجویی از مجموعه ضعفهای امنیتی ProxyShell علیه سرورهای آسیبپذیر Exchange از چندین ماه گذشته آغاز شده و LockFile و Conti اولین باجافزارهایی بودند که از ضعفهای امنیتی مذکور سوءاستفاده کردند.
مهاجمان در این کارزار که برای اولین بار توسط محققان در 12 اکتبر شناسایی شده از ضعفهای امنیتی ProxyShell جهت استقرار Babuk سوءاستفاده نموده و سرورهای آسیبپذیر Exchange را مورد هدف قرار میدهند.
ProxyShell به مجموعه سه آسیبپذیری زیر که در سرورهای Exchange وجود دارد، اطلاق میشود که مهاجمان میتوانند برای دور زدن احراز هویت و اجرای کد به عنوان یک کاربر ممتاز از آنها سوءاستفاده کنند.
- CVE-2021-34473 که ضعفی از نوع “اجرای کد به صورت از راه دور” (Remote Code Execution – به اختصار RCE) است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.
- CVE-2021-34523 که ضعفی از نوع “ترفیع امتیازی” (Elevation of Privilege) است. این آسیبپذیری نیز در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.
- CVE-2021-31207 که ضعفی از نوع “عبور از سد کنترلهای امنیتی” (Security Feature Bypass) است و در ۲۱ اردیبهشت ۱۴۰۰ توسط مایکروسافت وصله شد.
این گروه از مهاجمان در کارزار مذکور به دلیل نام فایلهای اجرایی مخرب (Payload) بکارگرفته شده در آن (Tortilla.exe)، Tortilla نامیده شدهاند. طبق گزارش محققان سیسکو، Tortilla یکی از همکاران Babuk است و اقدام به نصب و استفاده از پوسته وبی (Web shell) تحت عنوان China Chopper بر روی سرورهای هک شده Exchange کرده است. China Chopper اسکریپت مخربی است که بر روی سیستم قربانی بارگذاری میشود به مهاجمان اجازه مدیریت از راه دور، توسعه آلودگی در شبکه و ماندگاری در سیستمهای آلوده را فراهم میکند. نمونهای از China Chopper در لینک زیر قابل مشاهده است:
https://gist.github.com/KyleHanslovan/6e90e8b05a96fa153dc347f89c4876c8
محققان با شناسایی این کارزار به بررسی چگونگی حمله، دستکاری و استقرار باجافزار توسط مهاجمان جدید Babuk پس از افشای کد منبع (Source Code) در ماه سپتامبر پرداختهاند. مشروح گزارش افشای کدهای این باجافزار در افشای کدهای برنامهنویسی باجافزار Babuk و خبر خوش برای قربانیان سه باجافزار قابل مطالعه است.
مهاجمان حمله را معمولاً با یک ماژول اجرایی مستقل و دانلود کننده (Downloader) با فرمت DLL در سرور قربانی آغاز میکنند. دانلود کننده DLL، توسط پروسه والد w3wp.exe که پروسهای از نوع Exchange IIS Worker است، اجرا میشود. دانلود کننده مذکور یک (کد بهرهجو) Exploit تغییر یافته از نوع EfsPotato برای هدف قرار دادن آسیبپذیریهای proxyshell و PetitPotam است.
پروسه دانلود کننده، فرمانی مبهمسازی شده که در PowerShell تعبیه شده را برای اتصال و دانلود یک ماژول دانلودکننده بستهبندی شده از زیرساخت مهاجمان اجرا میکند. همچنین از طریق فرمان PowerShell، قابلیت AMSI در سیستمعامل غیرفعال شده و حفاظت نقاط پایانی به نحوی بیاثر میشود. سرور دانلود نیز در دامنههای مخرب fbi[.]fund و xxxs[.]info میزبانی میشود. ماژول راهانداز (Loader) بستهبندی شده اولیه حاوی منابع NET. رمزگذاری شده در قالب Bitmap است.
محتوای رمزگشایی شده، کدهای (Payload) واقعی باجفزار Babuk است. برای رمزگشایی و باز کردن کدهای مذکور، راهانداز به یک URL در pastebin.pl که حاوی ماژول Unpacker میانی است، متصل میشود.
ماژول Unpacker، کدهای جاسازی شده Babuk را در حافظه رمزگشایی کرده و آن را به پروسه جدید ایجاد شده به نام AddInProcess32 تزریق میکند. ماژول باجافزار Babuk در پروسه AddInProcess32 اجرا شده، پروسههای در حال اجرا بر روی سرور قربانی را شناسایی نموده و تلاش میکند تعدادی از پروسههای مربوط به نسخه پشتیبان محصولاتی نظیر سرویس پشتیبان Veeam را غیرفعال کند.
همچنین با استفاده از ابزار vssadmin، رونوشتهای Volume Shadow Service – به اختصار VSS – را از سرور حذف میکند تا مطمئن شود فایلهای رمزگذاری شده را نمیتوان از نسخههای پشتیبان VSS بازیابی کرد.
ماژول باجافزار، فایلهای موجود در سرور قربانی را رمزگذاری میکند و پسوند فایل babyk. را به فایلهای رمزگذاری شده اضافه میکند. این مهاجمان از قربانی میخواهند 10 هزار دلار امریکا برای به دست آوردن کلید رمزگشایی و بازیابی فایلهای خود بپردازد.
معمولاً اگر یک فایل اجرایی، پروسه w3wp (IIS Worker Process در Exchange) را به عنوان پروسه والد داشته باشد، به این معنی است که مهاجمان از مجموعه ضعفهای امنیتی ProxyShell در سرورهای Exchange سوءاستفاده کردهاند.
تحلیلگران سیسکو شواهدی مبنی بر سوءاستفاده از ضعفهای امنیتی ProxyShell در اکثر حملات، به ویژه نصب پوسته وب China Chopper در سیستمهای آلوده پیدا کردهاند. در حقیقت، China Chopper فرمان دانلود اولیه را اجرا کرده است. بررسی محققان نشان میدهد که زیرساخت مهاجمان در تلاش برای بهرهبرداری از طیف وسیعی از آسیبپذیریها و اجرای ماژولهای DLL و NET. در محصولات دیگری نظیر آنچه در زیر اشاره شده نیز میباشند:
- Microsoft Exchange autodiscover server side request forgery attempt (57907)
- Atlassian Confluence OGNL injection remote code execution attempt (58094)
- Apache Struts remote code execution attempt (39190, 39191)
- WordPress wp-config.php access via directory traversal attempt (41420)
- SolarWinds Orion authentication bypass attempt (56916)
- Oracle WebLogic Server remote command execution attempt (50020)
- Liferay arbitrary Java object deserialization attempt (56800)
مهاجمان Babuk، در اوایل سال میلادی 2021 و در پی اجرای چندین حمله موفق باجافزاری، رمزگذاری فایلها و اخاذی از سازمانها در کشورهای مختلف، مورد توجه رسانهها و محققان امنیتی قرار گرفتند. میانگین مبلغ اخاذی شده که در قالب بیتکوین باید به مهاجمان پرداخت میشد بین ۶۰ تا ۸۵ هزار دلار بوده است. با این حال در برخی موارد این مبلغ به صدها هزار دلار نیز رسیده است.
از جمله معروفترین قربانیان این باجافزار میتوان به اداره پلیس واشنگتن اشاره کرد که به نظر میرسد آخرین حمله بزرگ آنها پیش از خروج موقت از کسبوکار باجافزارها، باشد. پس از حمله به اداره پلیس واشنگتن و اعمال فشار نهادهای قانونی ایالات متحده، مهاجمان باجافزاری اعلام کردند که عملیات خود را تعطیل کردهاند.
مدتی قبل، کد منبع کامل باجافزار Babuk در یکی از تالارهای گفتگوی هکرهای روسی زبان توسط یکی از مهاجمان که ادعا میکرد عضوی از اعضای گروه Babuk است و به نوعی سرطان علاجناپذیر مبتلاست، فاش شد. پس از افشای کد منبع اولین نسخه از باجافزار Babuk در انجمنهای هک، سایر مهاجمان شروع به استفاده از باجافزار برای انجام حملات خود کردند.
مشخص نیست که آیا Tortilla در زمانی که RaaS فعال بود، یکی از زیرمجموعههای Babuk بوده یا برای انجام حملات جدید از این کد استفاده کردهاند.
با این حال، از آنجایی که باجافزار اخیر در این حملات کمتر از 10 هزار دلار امریکا به مونرو (Monero) درخواست نموده است، احتمالاً توسط مهاجمان اصلی Babuk، که باجبسیار بیشتری به بیتکوین درخواست کرده بودند، انجام نمیشود.
این کارزار با بکارگیری انواع مختلفی از باجافزار Babuk، عمدتاً کاربرانی از ایالات متحده و با تعداد کمتری در بریتانیا، آلمان، اوکراین، فنلاند، برزیل، هندوراس و تایلند را تحت تاثیر قرار دادهاند.
اخیراً نیز رمزگشایی برای قربانیان باجافزار Babuk توسط محققان آواست (Avast Software s.r.o) منتشر شده بود، که تنها قربانیانی میتوانند برای رمزگشایی فایلهای خود از آن استفاده کنند که کلیدهای خصوصی آنها بخشی از نشت کد منبع بوده است.
بنابراین با افشاء و در دسترس بودن کدهای منبع این باجافزار، مهاجمان تازهکاری همچون Tortilla نیز میتوانند با بکارگیری انواع مختلفی از Babuk حملات خود را مانند آنچه در کارزار اخیر مشاهده شده، ادامه دهند.
بررسی حملات توسط محققان سیسکو نشان میدهد که Tortilla از اوایل جولای شروع به کار کرده است و نسبتاً تازهکار محسوب میشود. دارای مهارتهای کم و متوسطی هستند، کدهای مخرب مختلفی را برای دستیابی و حفظ دسترسی از راه دور به سیستمهای آلوده آزمایش کردهاند. همچنین درک مناسبی از مفاهیم امنیتی داشته و توانایی ایجاد تغییرات جزئی در بدافزارهای موجود و ابزارهای امنیتی تهاجمی دارند.
از آنجایی که در حملات اخیر از آسیبپذیریهای مذکور سوءاستفاده شده، اکیداً توصیه میشود که همه مدیران و راهبران امنیتی در اسرع وقت سرورهای خود را به آخرین نسخه ارتقا داده و اقدام به نصب آخرین بهروزرسانیها و اصلاحیههای امنیتی نمایند تا از حملات مهاجمان در امان باشند.
مشروح گزارش شرکت سیسکو در نشانی زیر قابل مطالعه است:
https://blog.talosintelligence.com/2021/11/babuk-exploits-exchange.html
منابع: