微软Exchange服务器一直以来容易受到ProxyShell的安全问题影响。正因为此,它被Hive勒索软件联盟针对部署了各种后门,包括Cobalt Strike。
从服务器的后门中,黑客们进行网络侦察,窃取管理员账户凭证以及有价值的数据,最终设下文件加密的赎金陷阱。
这些细节来自安全和分析公司Varonis,他们调查了其客户受到的勒索软件攻击。
被广泛滥用的初始访问
ProxyShell包含了微软Exchange服务器中的三个漏洞。这些漏洞允许在易受攻击的服务器中不经认证而远程执行代码。这些漏洞已经被多个勒索软件利用,包括Conti、BlackByte、Babuk、Cuba和LockFile等。
这些漏洞被命名为CVE-2021-34473、CVE-2021-34523和CVE-2021-31207,其严重程度从7.2(高)到9.8(严重)。
截至2021年5月,这些安全漏洞已被完全修补,但大量技术细节在2021年8月才被公布,之后不久这些技术细节就开始被恶意利用。
Hive的附属机构在最近的一次攻击中成功地利用了ProxyShell。
从访问到加密
在利用ProxyShell的漏洞之后,黑客们在一个可访问的Exchange目录中植入四个Web shells,并以高权限执行PowerShell代码,下载Cobalt Strike stagers。
在这次攻击中使用的Web shells来自于一个公共的Git仓库,而它被重新命名以逃避可能的人工检查。
随机命名的Web shells (Varonis)
入侵者使用Mimikatz——一种证书窃取软件,来抢夺一个域管理账户的密码,并进行横向移动,访问网络中的更多信息。
在受影响的系统上启动一个新的命令提示符(Varonis)
接下来,黑客进行了文件搜索操作,以找到最有价值的数据,并且迫使受害者支付更多的赎金。
Varonis分析师看到了被丢弃的网络扫描器、IP地址列表、设备和目录、备份服务器的RDP、SQL数据库的扫描等。
"SoftPerfect"是一个值得注意的网络扫描软件滥用案例,它是一个轻量级的工具。黑客通过ping它并将结果保存在一个文本文件中。通过这样的方式黑客可以获取实时主机的列表。
最后,在所有文件被窃取后,一个名为 "Windows.exe"的勒索软件被部署在多个设备上。
在加密Golang的文件之前,部署好的勒索软件删除了影子副本,禁用了Windows Defender,清除了Windows事件日志,杀死了文件绑定进程,并停止了安全账户管理器,使其失去了警报能力。
勒索软件执行的命令(Varonis)
Hive的演变
自从2021年6月首次被发现,Hive已经走过了很长一段路。它有一个成功的开始,并且促使联邦调查局发布了一份关于其战术和影响的报告。
2021年10月,Hive团伙增加了Linux和FreeBSD变种,12月,它成为攻击频率最高的勒索软件之一。
上个月,哨兵实验室的研究人员报告了Hive正在开发和使用一种全新的勒索软件的隐蔽方法。