سرورهای Microsoft Exchange در معرض حملات گسترده باج‌افزار Babuk

اخیرا، یک مهاجم با نام مستعار Tortilla اقدام به Exploitکردن آسیب‌پذیری‌های Exchange Server نموده تا بتواند بدین وسیله آنان را به باج افزار Babuk آلوده نماید.

شواهد نشان می‌دهد که مهارت مهاجم در حملات سایبری زیاد نیست، زیرا تنها توانایی ایجاد تغییرات جزئی در بدافزارهای فعلی و ابزارهای نفوذ را دارد.

محققان معتقدند که این کمپین اقدام به Exploit آسیب‌پذیری‌های ProxyShell (CVE-2021-34473، CVE-2021-34523 و CVE-2021-31207) می‌نماید که در کنار هم می‌تواند به دور زدن فرایند احراز هویت و اجرای کد با دسترسی یک کاربر Privileged منجر شود.

مهاجم از یک فایل DLL یا یک فایل اجرایی Net. استفاده می‌کند که به عنوان Child Process مربوط به w3wp.exe اجرا شده و در نهایت یک Shell باز می‌شود که می‌تواند دستورات Powershell را به صورت Obfuscated اجرا کند. حتی در مواردی، China Chopper نیز روی هاست های آلوده مشاهده شده است. China Chopper یک Webshell مربوط به سال ۲۰۱۰ بوده که به مهاجمان اجازه دسترسی به سیستم آلوده را می‌دهد. در حمله فعلی گمان می‌رود که دانلود اولیه فایل ها توسط China Chopper صورت می‌گیرد.

پس از این مرحله، دستور Powershell مذکور، اقدام به دانلود یک ماژول Payload Loader کرده و بعد از آن یک Intermediate Unpacking Stage را دانلود می‌نماید که از دیدگاه محققین، این تکنیک تا حدودی غیرمعمول است. سپس قبل از اینکه Payload نهایی اجرا شود، Intermediate Unpacking Stage در حافظه بارگزاری و decode می‌شود. بعد از آن Payload مذکور، اقدام به Encrypt کردن فایل‌ها روی سرور و درایو‌های Mount شده می‌نماید.

به گفته محققان، Tortilla در حال انجام اسکن‌های متعدد در سطح اینترنت به منظور Exploit نمودن هاست‌های آسیب‌پذیر برای استفاده از چندین برنامه محبوب، از جمله Microsoft Exchange است. آن‌ها همچنین معتقدند که Tortilla برخی Payloadهای دیگر، از جمله Powercat (یک Clone از netcat که مبتنی بر PowerShell نوشته شده است) را با هدف بدست آوردن دسترسی Remote سیستم‌های آلوده، آزمایش می‌کند.

باج افزار Babuk به دلایل متعدد خطرناک است چرا که داده را Encrypt کرده، فرایند بکاپ‌گیری را مختل و حتی Shadow Copyها را حذف می‌کند. علیرغم اینکه ابزار Decrypt کردن Babuk موجود است ولی این سویه خاص نمی‌تواند توسط این ابزارها Decrypt گردد زیرا Decryptor مذکور فقط در خصوص برخی از کلیدهای رمزنگاری موثر است که در کد منبع لو رفته موجودند.

به منظور پیشگیری از این واقعه توصیه می‌گردد که سازمان‌ها مرتبا تمامی سرورها و سرویس‌های مربوطه را آپدیت نموده و همچنین برای تشخیص به موقع این حملات، از روش‌های تشخیص بر مبنای رفتار استفاده نمایند.

نصب Patchهای زیر به منظور پیشگیری از حملات ProxyShell توصیه می‌گردد:

• KB5001779
• KB5003435

منابع:

https://duo.com/decipher/attackers-infect-vulnerable-microsoft-exchange-servers-with-babuk-ransomware

https://www.bleepingcomputer.com/news/security/microsoft-exchange-proxyshell-exploits-used-to-deploy-babuk-ransomware

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31207

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

https://cert.ir/news/13297