La webshell identificata nella maggior parte delle osservazioni sembra essere “China Chopper“. Una volta ottenuto l’accesso tramite lo sfruttamento, gli aggressori avviano attività di ricognizione per identificare e sottrarre dati dalla rete dell’organizzazione. Lo sfruttamento e il successivo attacco sembrano essere completamente automatizzati e richiedono una risposta rapida per prevenire tentativi di esfiltrazione di dati e movimenti laterali.
Utilizzo di HAFNIUM identificato da ReaQta-Hive
A caccia di HAFNIUM
ReaQta ha pubblicato una Threat Hunting Query per identificare i tentativi di post-sfruttamento.
Threat Hunting Query
La query di ricerca fornita dal team di ReaQta, fornisce informazioni immediate sulle attività degli aggressori.
ReaQta-Hive Threat Hunting Console
ReaQta-Hive Threat Hunting Console fornisce un approccio completo e granulare alla ricerca di specifici Indicatori di Compromesso (IOC) e Indicatori di Attacco (IOA), combinando i parametri in modo inclusivo o esclusivo. La piattaforma è estremamente completa ma facile da usare, dotata di parametri di ricerca preconfigurati che non richiedono alcuna conoscenza di linguaggi di query complessi.
Hunt Parameters
Sono compromesso?
Se la query non restituisce risultati, non sono stati effettuati tentativi di sfruttamento. Tuttavia, se vengono restituiti dati, si consiglia agli analisti di valutare i risultati in quanto vi sono 2 possibili esiti:
- Il server è stato sfruttato
- Sono presenti dati anomali ma il server NON è compromesso
Per questa campagna in corso, i risultati sono dannosi se vengono soddisfatte tutte le seguenti condizioni:
- È presente un evento Executable Dropped per il processo “w3wp.exe” e la riga di comando contiene MSExchangeOWAAppPool
- C’è una voce per dsquery.exe che non è stata avviata da un amministratore di sistema
Se w3wp.exe non contiene il flag MSExchangeOWAAppPool e dsquery.exe è stato lanciato di proposito da un amministratore, i risultati non sono dannosi.
I team IT dovrebbero sfruttare la capacità di “Create Incident” per ricostruire l’intera trama, prestando attenzione ai processi originari coinvolti.
Salvaguardia da futuri attacchi
ReaQta-Hive fornisce una funzionalità unica chiamata DeStra (Detection Strategies) creata appositamente per supportare in maniera avanzata i team nel rilevamento di Advanced Persistent Threat (APT) e per creare scenari di rilevamento altamente personalizzati, adattati alle esigenze di sicurezza dell’organizzazione.
Tutte le DeStra funzionano in tempo reale a livello di endpoint e quindi sono in grado di identificare e rispondere a un nuovo comportamento man mano che accade, una volta creata una Destra, viene immediatamente attivata in tutta l’organizzazione senza alcun tipo di intervento o tempi di inattività. A differenza delle tradizionali regole di post-elaborazione, i playbook DeStra reagiscono immediatamente a qualsiasi minaccia, lasciando poco spazio di movimento a un aggressore.
In questo scenario, il ReaQta Threat Intelligence Team ha creato una DeStra per rilevare futuri attacchi di sfruttamento, che è stato reso pubblicamente disponibile a quesro URL.
DeStra Script
Abilitando semplicemente un nuovo scenario di rilevamento all’interno di DeStra, ReaQta-Hive protegge l’organizzazione da futuri exploit simili.
DeStra Creation
La nostra raccomandazione
Consigliamo vivamente a tutti gli utenti di server Microsoft Exchange OnPrem, di applicare patch e aggiornare i sistemi: Exchange Online non è interessato. Si prega di adottare anche i soliti playbook di risposta e correzione in caso di risultati positivi dalla query di ricerca o in presenza di un trigger DeStra. L’exploit è solo un punto di ingresso, ma la risposta post-sfruttamento non è diversa da quella di qualsiasi altro attacco.
Contattaci per maggiori informazioni.