Ataques de Lockbit a servidores Exchange

Los afiliados del ransomware Lockbit están encriptando a las víctimas a través de servidores de Microsoft Exchange pirateados utilizando exploits dirigidos a vulnerabilidades sin parches.

En al menos uno de estos incidentes de julio de 2022, los atacantes utilizaron un shell web previamente implementado en un servidor de Exchange comprometido para escalar los privilegios al administrador de Active Directory, robar aproximadamente 1,3 TB de datos y cifrar los sistemas de red.

Tal como lo describe la firma de seguridad cibernética de Corea del Sur AhnLab, cuyos expertos en análisis forense fueron contratados para ayudar con la investigación, los actores de amenazas tardaron solo una semana en secuestrar la cuenta de administrador de AD desde que se cargó el shell web.

AhnLab dice que los servidores de Exchange probablemente fueron pirateados utilizando una vulnerabilidad de día cero no revelada, dado que la víctima recibió soporte técnico de Microsoft para implementar parches de seguridad trimestrales después de un compromiso anterior de diciembre de 2021.

Entre las vulnerabilidades reveladas después de mayo, no hubo informes de vulnerabilidades relacionadas con comandos remotos o creación de archivos, explicó AhnLab .

Por lo tanto, teniendo en cuenta que WebShell se creó el 21 de julio, se espera que el atacante haya utilizado una vulnerabilidad de día cero no revelada.

¿Nuevos días cero de Microsoft Exchange?

Si bien Microsoft está trabajando actualmente en parches de seguridad para abordar dos días cero de Microsoft Exchange explotados activamente y rastreados como CVE-2022-41040 y CVE-2022-41082, AhnLab agregó que el que se usó para obtener acceso al servidor de Exchange en julio podría ser diferente. ya que las tácticas de ataque no se superponen.

Existe la posibilidad de que se hayan utilizado las vulnerabilidades de Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082) reveladas por GTSC, una empresa de seguridad vietnamita, el 28 de septiembre, pero el método de ataque, el nombre de archivo WebShell generado, y ataques posteriores después de la creación de WebShell.

Aunque las diferencias en el método de entrega no pueden considerarse evidencia suficiente de que los atacantes usaron un nuevo día cero y los expertos en seguridad tampoco están convencidos de que este sea el caso, al menos un proveedor de seguridad más conoce otras tres fallas de Exchange no reveladas y proporciona “vacunas ” para bloquear los intentos de explotación.

Descubiertos por el investigador de vulnerabilidades de Zero Day Initiative, Piotr Bazydlo , e informados a Microsoft hace tres semanas, la firma de software de ciberseguridad Trend Micro los rastrea como ZDI-CAN-18881, ZDI-CAN18882 y ZDI-CAN-18932 después de que sus analistas validaron los problemas.

Línea de tiempo

Se presenta la línea de eventos que desencadenaron el ataque exitoso a la infraestructura vulnerada:

1. Carga de WebShell

Dos archivos WebShell se cargaron en la carpeta OWA en Mail02 el 21 de julio de 2022.

Estos dos archivos luego se cifran con ransomware, por lo que no se puede confirmar el contenido, pero se presume que son archivos WebShell. En el registro de IIS, uno de los dos archivos se identificó como HttpRedirService.aspx.

2. Llamadas de WebShell

Como resultado de la verificación del registro de IIS de Mail02, el ransomware también cifró los archivos de registro de IIS. Sin embargo, dado que solo se cifran los primeros 15 MB del archivo, se puede proteger el contenido del registro después de 15 MB para cada archivo de registro, por lo que se puede verificar el seguimiento de la llamada a WebShell.

Después de que se creó el archivo WebShell, se comenzó a llamar a WebShell 1 minuto después.

Hora de creación de WebShell: 21/07/2022 22:43:49

Cuando se llama a WebShell: 2022/07/21 22:44:51

El atacante lo usó cambiando las IP del 21 al 27 de julio. Se utilizaron un total de 12 direcciones IP para las llamadas de WebShell. Se puede ver que la IP ha sido cambiada periódicamente.

3. ¿Cómo consiguió el atacante la cuenta de administrador?

Un servidor de Microsoft Exchange está en funcionamiento en el servidor Mail02 y el servicio OWA se proporciona externamente. Cuando se ejecuta WebShell en la carpeta OWA, funciona con privilegios del sistema. Se presume que el atacante usó el privilegio del Sistema y obtuvo las contraseñas de las cuentas de administrador de AD, Administrador y Exchservice, usando el malware Mimikatz.

Mimikatz es un malware que se usa a menudo para robar las credenciales de una cuenta de los sistemas Windows. Mail02 usaba las cuentas de administrador y ExchService expuestas.

En los sistemas Mail02 y Server01, Mimikatz ha sido detectado varias veces. En Server01, también se confirmó el historial de ejecución de Mimikatz.

4. Túneles con Plink

Se presume que el atacante usó WebShell para crear y ejecutar scripts y programas de tunelización. Si ejecuta el script r.bat generado, se permite la política de firewall RDP y RDP se habilita modificando el registro. Después de eso, se ejecuta el programa de tunelización p64.exe (Plink) para conectar la dirección del servidor externo y el 3389 local (RDP).

En este caso, omite el firewall utilizado por la organización y permite el acceso RDP desde el exterior al sistema de red interno.

5. Acceso remoto mediante TeamViewer

Se encontró una versión portátil de TeamViewer en la carpeta utilizada por el atacante en el sistema Server01 (C:WindowsSystem32409).

6. Recopilación de información de infraestructura interna

El atacante usó NetScan para recopilar información de la infraestructura interna después de apoderarse de Mail02. NetScan es una herramienta GUI comercial desarrollada y comercializada por SoftPerfect. El atacante usó NetScan versión 6.2.1 versión de 64 bits lanzada el 18 de octubre de 2016 como software gratuito sin emitir una licencia.

7. Obtención de información de Active Directory mediante SharpHound

El atacante utilizó una herramienta llamada SharpHound.exe para obtener información de Active Directory. SharpHound es una herramienta de recopilación de información de Active Directory incluida en una herramienta llamada BloodHound.

Se encontraron rastros de SharpHound ejecutándose en Server01 a las 19:20:49 el 27 de julio y, como resultado de recopilar información de AD con la herramienta SharpHound, se encontró el archivo. SharpHound recopila información de Active Directory, la guarda como un archivo JSON y la comprime en un archivo zip.

8. ¿Cómo penetró en otros sistemas de la red interna?

Mediante la utilidad de análisis de red netscan para obtener una lista de sistemas internos y obtuvo cuentas de administrador de AD (ExchService, Administrador) a través del malware Mimikatz obtuvo acceso a los sistemas internos a través de varios métodos.

• Conexión mediante RDP
• Acceso remoto con TeamViewer
• Copiar un archivo remoto mediante el comando copy
• Ejecución de comandos remotos mediante WMIC
• Ejecución de comandos remotos con Psexec

9. Escena de piratería después de la conexión RDP

El atacante accedió a múltiples sistemas internos a través de RDP con la cuenta de administrador protegida. Como resultado de verificar la caché de mapa de bits RDP de Server01, el 28 de julio, después de conectarse a RDP con la cuenta de ExchService, el atacante ejecutó un script de PowerShell para implementar el ransomware desde un símbolo del sistema con privilegios de administrador. Parece que el administrador de tareas también se lanzó para verificar el estado del proceso del sistema.

Se muestra pantalla de control del atacante en RDP Bitmap Cache de Server01

10. ¿Cómo se propaga y ejecuta el ransomware?

Los atacantes utilizaron un script en forma de un archivo por lotes de Windows para difundir ransomware. Se encontró un script de difusión de ransomware en los sistemas AD01 y Server01 cada uno. La infección de ransomware también está en el sistema, que comenzó el 27 de julio, por lo que se cree que puede haber archivos por lotes adicionales que no se encontraron.

Los dos scripts de distribución de ransomware encontrados comúnmente usan el recurso compartido básico del disco duro (C$) y comandos remotos usando wmic. El script S2-PS.bat creado a las 00:00 del 28 de julio copia el archivo de ransomware en la ruta C:Windows a través de la carpeta compartida dirigida a 281 sistemas y lo ejecuta a través de wmic. El script S.bat creado a las 05:08 el 28 de julio ejecuta directamente el archivo ransomware existente en la carpeta compartida del sistema Server01 usando wmic dirigido a 334 sistemas. No se encontró el archivo H.bat incluido en este script.

CVE descubiertos para Exchange en 2022:

Recomendaciones

• Los servidores expuestos externamente deben mantenerse al día con los parches y actualizaciones.

• Si detecta malware en la red interna, debe mitigarse a la brevedad y de ser posible identificar su vector de ataque para corregir todo riesgo de una futura infección.
• Se recomienda que habilitar la detección de Software Potencialmente Dañino en su antivirus para detectar archivos clasificados como Hacking Tool.
• Validar que los CVE mostrados en la tabla anterior sean corregidos por el área de Informática.

IOC’s