A ProxyLogon kihasználásának elemzése

Editors' Pick
Geronimo

A Microsoft folyamatosan közzéteszi és javítja azokat a hibákat, amiket sikerül azonosítani a Exchange szerverek kihasználása során. A vállalat friss jelentése szerint a sérülékeny Exchange szerverek döntő többsége (92%) már vagy frissítésre került, vagy olyan megkerülő megoldás került alkalmazásra, ami védelmet nyújt a ProxyLogon-t célzó támadások ellen. A cég egyben ismertette, hogy milyen új kártékony kódokat azonosítottak. Ilyenek a DoejoCrypt és a Pydomer ransomware, valamint a Lemon Duck botnet. A Microsoft arra is felhívja a figyelmet, hogy a támadók időközben már olyan jogosultságokat szerezhettek, amelyekkel rendszereket tartósan ki tudják használni, akár egy későbbi támadás során is.

A DoejoCrypt volt az első ransomware, amely kihasználta a ProxyLogont sérülékenységet és a javítások kiadása után elkezdett titkosítani, ugyan nem jelentős mennyiségben. A DoejoCrypt támadások azzal kezdődnek, hogy a Chopper webshell változatát telepítik az Exchange kiszolgálóra.

A Pulse Secure VPN sérülékenységeinek kihasználásával a Pydomer ransomware, egy már korábban azonosított ransomware is megjelent. A Pydomer ransomware egy futtatható fájlra fordított Python szkript, amely a Python kriptográfiai könyvtárakat használja a fájlok titkosításához. Ugyanakkor nem minden esetben jelezték megfelelő időben tevékenységüket, mert néhány alkalommal már a titkosítás előtt elküldték zsaroló üzenetüket. A Microsoft szerin azonban komolyan kell venni a támadókat.

A biztonsági frissítések kiadását követő első napokban több kriptovaluta-bányász kampányt is megfigyelt a Microstoft, amelyek korábban a SharePoint szervereket célozták meg, de gyorsan váltottak az Exchange szerverekre. Ezek többsége a XMRig bányász alkalmazások voltak, de a Lemon Duck, egy ismert kriptovaluta botnet is megjelent Exchange-kihasználói között. A Lemon Duck operátorok  számos Exchange kiszolgálót  kezelnek és változtattak kicsit az eddigi szokásaikon és már nem csak bányásznak, hanem elkezdtek egyéb rosszindulatú kódokat is feltölteni a kihasznált szerverekre.

A fenti kártékony kódok elleni védelmet már beépítette a védelmi rendszereibe a Microsoft, azonban a támadások kifinomultsága miatt számos egyéb teendőre is felhívja a figyelmet a gyártó. Ilyenek például:

  • Az Exchange szerverek kihasználásnak folyamatos figyelése, attól  függetlenül, hogy azok már frissítve lettek.
  • A lokális és csoportos felhasználói jogosultságok vizsgálata és nem csak a adminisztrátori, hanem a felhasználói jogosultságok esetében is.
  • A távoli hozzáférések konfigurációs változásainak ellenőrzés is javasolt.
  • Az eseménynaplók törlése is gyanúra ad okot.

FORRÁS