Rilevamento dell’HAFNIUM Exchange Exploitation Campaign con ReaQta

19/03/2021
L’11 marzo, Microsoft ha segnalato una campagna di sfruttamento di diverse vulnerabilità zero-day che interessano le versioni OnPrem di Microsoft Exchange Server (HAFNIUM Exchange Exploitation) presumibilmente da un avversario sponsorizzato dallo stato, l’attacco inizia sfruttando le vulnerabilità – CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 – e distribuendo una webshell per mantenere l’accesso al server sfruttato, in risposta alla campagna di sfruttamento, il ReaQta Threat Intelligence Team ha preparato una serie di semplici passaggi volti a prevenire nuovi attacchi in tempo reale e bloccare quelli che potrebbero essere già in corso.

La webshell identificata nella maggior parte delle osservazioni sembra essere “China Chopper“. Una volta ottenuto l’accesso tramite lo sfruttamento, gli aggressori avviano attività di ricognizione per identificare e sottrarre dati dalla rete dell’organizzazione. Lo sfruttamento e il successivo attacco sembrano essere completamente automatizzati e richiedono una risposta rapida per prevenire tentativi di esfiltrazione di dati e movimenti laterali.

HAFNIUM Exchange Exploitation ReaQta

Utilizzo di HAFNIUM identificato da ReaQta-Hive

A caccia di HAFNIUM
ReaQta ha pubblicato una Threat Hunting Query per identificare i tentativi di post-sfruttamento.

HAFNIUM Exchange Exploitation ReaQta

Threat Hunting Query

La query di ricerca fornita dal team di ReaQta, fornisce informazioni immediate sulle attività degli aggressori.

HAFNIUM Exchange Exploitation ReaQta

ReaQta-Hive Threat Hunting Console

ReaQta-Hive Threat Hunting Console fornisce un approccio completo e granulare alla ricerca di specifici Indicatori di Compromesso (IOC) e Indicatori di Attacco (IOA), combinando i parametri in modo inclusivo o esclusivo. La piattaforma è estremamente completa ma facile da usare, dotata di parametri di ricerca preconfigurati che non richiedono alcuna conoscenza di linguaggi di query complessi.

HAFNIUM Exchange Exploitation ReaQta

Hunt Parameters

Sono compromesso?

Se la query non restituisce risultati, non sono stati effettuati tentativi di sfruttamento. Tuttavia, se vengono restituiti dati, si consiglia agli analisti di valutare i risultati in quanto vi sono 2 possibili esiti:

  • Il server è stato sfruttato
  • Sono presenti dati anomali ma il server NON è compromesso

Per questa campagna in corso, i risultati sono dannosi se vengono soddisfatte tutte le seguenti condizioni:

  1. È presente un evento Executable Dropped per il processo “w3wp.exe” e la riga di comando contiene MSExchangeOWAAppPool
  2. C’è una voce per dsquery.exe che non è stata avviata da un amministratore di sistema

Se w3wp.exe non contiene il flag MSExchangeOWAAppPool e dsquery.exe è stato lanciato di proposito da un amministratore, i risultati non sono dannosi.

I team IT dovrebbero sfruttare la capacità di “Create Incident” per ricostruire l’intera trama, prestando attenzione ai processi originari coinvolti.

Salvaguardia da futuri attacchi

ReaQta-Hive fornisce una funzionalità unica chiamata DeStra (Detection Strategies) creata appositamente per supportare in maniera avanzata i team nel rilevamento di Advanced Persistent Threat (APT)  e per creare scenari di rilevamento altamente personalizzati, adattati alle esigenze di sicurezza dell’organizzazione.

Tutte le DeStra funzionano in tempo reale a livello di endpoint e quindi sono in grado di identificare e rispondere a un nuovo comportamento man mano che accade, una volta creata una Destra, viene immediatamente attivata in tutta l’organizzazione senza alcun tipo di intervento o tempi di inattività. A differenza delle tradizionali regole di post-elaborazione, i playbook DeStra reagiscono immediatamente a qualsiasi minaccia, lasciando poco spazio di movimento a un aggressore.

In questo scenario, il ReaQta Threat Intelligence Team ha creato una DeStra per rilevare futuri attacchi di sfruttamento, che è stato reso pubblicamente disponibile a quesro URL.

DeStra Script

Abilitando semplicemente un nuovo scenario di rilevamento all’interno di DeStra, ReaQta-Hive protegge l’organizzazione da futuri exploit simili.

DeStra Creation

La nostra raccomandazione

Consigliamo vivamente a tutti gli utenti di server Microsoft Exchange OnPrem, di applicare patch e aggiornare i sistemi: Exchange Online non è interessato. Si prega di adottare anche i soliti playbook di risposta e correzione in caso di risultati positivi dalla query di ricerca o in presenza di un trigger DeStra. L’exploit è solo un punto di ingresso, ma la risposta post-sfruttamento non è diversa da quella di qualsiasi altro attacco.

Contattaci per maggiori informazioni.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

I tre ostacoli sulla strada del passwordless

I tre ostacoli sulla strada del passwordless

In Hypr, abbiamo avuto il privilegio di osservare le aziende di tutto il mondo eliminare con successo le password per i loro clienti e dipendenti. Questi pionieri hanno stabilito lo standard e hanno dimostrato i vantaggi permessi dall'autenticazione senza password....