اخیرا، یک مهاجم با نام مستعار Tortilla اقدام به Exploitکردن آسیبپذیریهای Exchange Server نموده تا بتواند بدین وسیله آنان را به باج افزار Babuk آلوده نماید.
شواهد نشان میدهد که مهارت مهاجم در حملات سایبری زیاد نیست، زیرا تنها توانایی ایجاد تغییرات جزئی در بدافزارهای فعلی و ابزارهای نفوذ را دارد.
محققان معتقدند که این کمپین اقدام به Exploit آسیبپذیریهای ProxyShell (CVE-2021-34473، CVE-2021-34523 و CVE-2021-31207) مینماید که در کنار هم میتواند به دور زدن فرایند احراز هویت و اجرای کد با دسترسی یک کاربر Privileged منجر شود.
مهاجم از یک فایل DLL یا یک فایل اجرایی Net. استفاده میکند که به عنوان Child Process مربوط به w3wp.exe اجرا شده و در نهایت یک Shell باز میشود که میتواند دستورات Powershell را به صورت Obfuscated اجرا کند. حتی در مواردی، China Chopper نیز روی هاست های آلوده مشاهده شده است. China Chopper یک Webshell مربوط به سال ۲۰۱۰ بوده که به مهاجمان اجازه دسترسی به سیستم آلوده را میدهد. در حمله فعلی گمان میرود که دانلود اولیه فایل ها توسط China Chopper صورت میگیرد.
پس از این مرحله، دستور Powershell مذکور، اقدام به دانلود یک ماژول Payload Loader کرده و بعد از آن یک Intermediate Unpacking Stage را دانلود مینماید که از دیدگاه محققین، این تکنیک تا حدودی غیرمعمول است. سپس قبل از اینکه Payload نهایی اجرا شود، Intermediate Unpacking Stage در حافظه بارگزاری و decode میشود. بعد از آن Payload مذکور، اقدام به Encrypt کردن فایلها روی سرور و درایوهای Mount شده مینماید.
به گفته محققان، Tortilla در حال انجام اسکنهای متعدد در سطح اینترنت به منظور Exploit نمودن هاستهای آسیبپذیر برای استفاده از چندین برنامه محبوب، از جمله Microsoft Exchange است. آنها همچنین معتقدند که Tortilla برخی Payloadهای دیگر، از جمله Powercat (یک Clone از netcat که مبتنی بر PowerShell نوشته شده است) را با هدف بدست آوردن دسترسی Remote سیستمهای آلوده، آزمایش میکند.
باج افزار Babuk به دلایل متعدد خطرناک است چرا که داده را Encrypt کرده، فرایند بکاپگیری را مختل و حتی Shadow Copyها را حذف میکند. علیرغم اینکه ابزار Decrypt کردن Babuk موجود است ولی این سویه خاص نمیتواند توسط این ابزارها Decrypt گردد زیرا Decryptor مذکور فقط در خصوص برخی از کلیدهای رمزنگاری موثر است که در کد منبع لو رفته موجودند.
به منظور پیشگیری از این واقعه توصیه میگردد که سازمانها مرتبا تمامی سرورها و سرویسهای مربوطه را آپدیت نموده و همچنین برای تشخیص به موقع این حملات، از روشهای تشخیص بر مبنای رفتار استفاده نمایند.
نصب Patchهای زیر به منظور پیشگیری از حملات ProxyShell توصیه میگردد:
- KB5001779
- KB5003435
منابع:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31207
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473