利用Exchange漏洞入侵安插後門,小心資料洩露

深信服千里目發表於2021-11-01

背景概述

近日,深信服終端安全團隊發現一起有針對性的黑產攻擊事件,攻擊者利用Exchange郵件服務漏洞入侵伺服器,並透過部署惡意服務下載後門模組,獲取使用者資訊、遠端命令執行惡意程式、進行檔案管理等,以此完成對受害主機的控制。

攻擊流程分析

攻擊者利用Exchange郵件服務漏洞上傳webshell,隨後部署惡意服務。惡意服務會隔一段時間訪問一次後臺,若後臺開放則下載後門模組。並且攻擊者自己實現了PE檔案載入器,透過該載入器解密、修復並執行後門模組。

攻擊流程圖

利用Exchange漏洞入侵安插後門,小心資料洩露

從日誌中可以看到攻擊者多次訪問webshell

利用Exchange漏洞入侵安插後門,小心資料洩露 

部署惡意服務,服務命名為Spooler

利用Exchange漏洞入侵安插後門,小心資料洩露 

服務拉起惡意程式,程式名稱不固定,通常偽裝成業務檔案

利用Exchange漏洞入侵安插後門,小心資料洩露 

訪問後臺並且下載惡意模組,取隨機數重新命名惡意模組

利用Exchange漏洞入侵安插後門,小心資料洩露

對下載下來的後門模組進行解密,解密之前會判斷檔案頭是否是0xE1FED9D0

利用Exchange漏洞入侵安插後門,小心資料洩露 

修復IAT、重定位表,並執行後門模組

利用Exchange漏洞入侵安插後門,小心資料洩露 

 

後門模組分析

安全專家在相關目錄下發現幾個隨機名字的檔案,經過解密分析可以確認為服務下載下來的後門模組。

後門模組不僅包含獲取主機資訊、遠端命令執行、獲取磁碟資訊、下載檔案、檔案重新命名等功能,還透過修改登錄檔、覆蓋檔案實現持久化。

將自身複製為schmet.exe並修改登錄檔加入啟動專案

利用Exchange漏洞入侵安插後門,小心資料洩露 

將自身複製為schost.exe,並且覆蓋FileSyncFalwb.dll檔案,在FileSyncFalwb.dll中執行schost.exe

利用Exchange漏洞入侵安插後門,小心資料洩露 

將自身複製到mpetect.exe,修改登錄檔鍵值UserInitMprLogonScript

利用Exchange漏洞入侵安插後門,小心資料洩露 

獲取主機資訊,包含使用者名稱、計算機名、系統版本、CPU主頻等資訊

利用Exchange漏洞入侵安插後門,小心資料洩露 

利用匿名管道遠端執行powershell指令

利用Exchange漏洞入侵安插後門,小心資料洩露 

獲取主機各個磁碟的資訊

利用Exchange漏洞入侵安插後門,小心資料洩露 

下載主機的檔案

利用Exchange漏洞入侵安插後門,小心資料洩露 

檔案重新命名

利用Exchange漏洞入侵安插後門,小心資料洩露 

 

安全加固

1. 內網中的主機系統、服務軟體保持安裝最新的補丁,避免漏洞入侵。

2. 伺服器密碼使用複雜密碼,且不要與其他主機密碼重複、不要與外部賬號密碼重複,防止洩露。

3. 避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺。

深信服安全產品解決方案

1.使用深信服下一代防火牆AF、終端檢測響應平臺EDR、安全感知平臺SIP等安全產品,均已繼承了SAVE人工智慧引擎,均能夠有效地檢測防禦此類惡意軟體,透過部署此類產品,使用者可進行安全掃描,以保證計算機的安全:

利用Exchange漏洞入侵安插後門,小心資料洩露 

2. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;

4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

相關文章