Анализ процесса threat hunting: в поисках уязвимости MS Exchange | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №50 (497) декабрь 2023 г.

Дата публикации: 17.12.2023

Статья просмотрена: 40 раз

Библиографическое описание:

Абдиханиев, И. А. Анализ процесса threat hunting: в поисках уязвимости MS Exchange / И. А. Абдиханиев. — Текст : непосредственный // Молодой ученый. — 2023. — № 50 (497). — С. 1-5. — URL: https://moluch.ru/archive/497/109124/ (дата обращения: 19.12.2024).



Вступление

В последнее время много говорится об уязвимостях в Microsoft Exchange, одной из самых популярных электронных почтовых платформ в мире. Эти уязвимости были обнаружены и эксплуатированы злоумышленниками, что привело к серьезным последствиям для многих организаций. Уязвимости, известные как ProxyLogon и ProxyNotShell, позволяют злоумышленникам удаленно выполнять произвольный код на серверах Exchange, обходя необходимость в аутентификации. Это означает, что атакующий может получить полный контроль над сервером Exchange и иметь доступ к электронным письмам, контактам, календарям и другой конфиденциальной информации.

Последствия таких атак могут быть катастрофическими для организаций, включая утечку конфиденциальных данных, шантаж, вымогательство или нарушение регуляторных требований. Поэтому важно принять меры для защиты серверов Exchange от этих уязвимостей.Microsoft Exchange Server — это не просто мессенджер и почтовый клиент, а полноценный профессиональный инструмент для построения максимально эффективной и продуктивной работы. Как и все программы для обмена сообщениями такого уровня, Exchange Microsoft помимо незаменимых достоинств имеет свои недостатки. Точнее будет сказать, обязательные требования для стабильной работы, которые для кого-то могут быть недостатком.

Microsoft Exchange Server: преимущества и эксплуатационные особенности программы

Совместный кооперативный софт по определению должен не просто упрощать ведение бизнеса и рабочий процесс в целом, но также обладать высокой надежностью и стабильностью. Exchange Server отрабатывает на отлично по каждому пункту. К преимуществам программы можно отнести:

— поддержка большого количества протоколов (MAPI, SMTP, POP3, IMAP4, HTTP/HTTPS, LDAP/LDAPS SSL, DAVEx);

— Exchange Microsoft совместим с множеством клиентов (Windows Mail, Microsoft Outlook и Outlook Express, OWA, произвольные почтовые клиенты), а также поддержка мобильного клиента ActiveSync;

— возможность работы с системой голосового доступа Outlook Voice Access;

— быстрая и упрощенная настройка сервера возможна благодаря удобной интеграции с Active Directory; [1, 5]

Архитектура протокола клиентского доступа (Источник: learn.microsoft.com)

Рис. 1. Архитектура протокола клиентского доступа (Источник: learn.microsoft.com)

Журналы

Полезные события источников для детектирования атак на Microsoft Exchange

Таблица 1

Журналы в Microsoft Exchange

Название источника (журнал)

Описание

Путь

Полезные event id

Журналы аудита Windows

Этот журнал содержит информацию о различных событиях безопасности, таких как успешные и неудачные попытки входа в систему, изменения в политиках безопасности, доступ к файлам и папкам, а также другие важные события, связанные с безопасностью операционной системы.

Security.evtx

4624, 4625,4728,4732,4756,7045,4798,4648,4765

События приложении аудита Windows

Эти события могут быть полезными для отслеживания и анализа проблем, связанных с приложениями, и для мониторинга и оптимизации их работы.

  1. Сообщения об ошибках: События, связанные с ошибками, могут указывать на проблемы, возникающие в работе приложений. Эти сообщения могут помочь в идентификации и исправлении проблем, таких как сбои приложений, некорректные операции или неожиданное завершение работы.
  2. Предупреждения: События предупреждений могут указывать на потенциальные проблемы или предупреждать о состоянии, требующем внимания. Они могут указывать на некорректное использование приложений, настройки, которые могут привести к проблемам, или другие предупреждающие сигналы, связанные с работой приложений.

Application.evtx

11707, 1002,1000,1309

Powershell журнал

Специальный журнал событий в операционной системе Windows, который регистрирует различные действия и операции, связанные с использованием и выполнением команд и сценариев PowerShell.

Запуск и завершение команд и сценариев

Ошибки и предупреждения

Информационные сообщения

PowerShell журнал может быть полезным для мониторинга и анализа работы и производительности PowerShell, отслеживания выполненных команд и сценариев, а также для обнаружения и исправления проблем.

Microsoft-Windows-PowerShell/Operational

400,600,800,4103,4104

MSExchange Management

Журнал событий содержит информацию об управляющих действиях с компонентами Microsoft Exchange. В нем фиксируются все операции, проведенные с использованием Exchange Management Shell (EMS) и Exchange Control Panel (ECP

MSExchange Management

1000,9001,7002,5001

Событий IIS(OWA)

Событий IIS(OWA) содержит информацию о различных событиях и состояниях, происходящих веб-приложении Outlook Web App, которое предоставляет доступ к электронной почте и функциям Exchange Server через веб-браузер

C:\inetpub\logs\LogFiles\W3SVC1\*

EWS

Содержат информацию о различных событиях, происходящих в Exchange Server веб-службах. В этих логах можно обнаружить следующую информацию:

Запросы и ответы

Аутентификация и авторизация

Ошибки и предупреждения

Трассировка и т. д.

C:\Program Files\Microsoft\Exchange Server\Logging\Ews

ECP

ECP (Exchange Control Panel) — это веб-интерфейс администратора в Exchange Server, который предоставляет возможность управления различными аспектами сервера [4].

C:\inetpub\logs\LogFiles\W3SVC2\*

Уязвимость ProxyLogon

ProxyLogon — это формально общее название CVE-2021–26855, уязвимости на сервере Microsoft Exchange, которая позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора.

Цепочка атаки ProxyLogon может включать следующие этапы:

  1. 1.Разведка: Злоумышленник может начать атаку, исследуя целевую сеть и серверы Exchange, чтобы определить их уязвимости и наличие уязвимости ProxyLogon.
  2. Эксплойтация уязвимости: Злоумышленник может использовать известные уязвимости ProxyLogon для выполнения произвольного кода на сервере Exchange, обойти механизмы аутентификации и получить удаленный доступ к серверу.
  3. Поднятие привилегий: После успешной эксплойтации уязвимости ProxyLogon злоумышленник может предпринять шаги для повышения своих привилегий на сервере Exchange, чтобы получить полный контроль над ним.
  4. Установка задней двери: Злоумышленник может установить вредоносное программное обеспечение или заднюю дверь на сервере Exchange, чтобы иметь постоянный доступ и контроль над системой.
  5. Обход обнаружения: Чтобы сохранить доступ и избежать обнаружения, злоумышленник может предпринять шаги для скрытия своей активности, включая удаление логов и использование методов обхода систем безопасности.

Охота на ProxyLogon

Журнал IIS

Журналы IIS являются полезным источником информации для сбора данных о запросах GET/POST, которые отправляются на сервер. Они могут быть ценным инструментом для обнаружения и анализа потенциальных атак, включая уязвимости ProxyLogon.

Журналы IIS хранятся в стандартном расположении по умолчанию: C:\inetpub\logs\LogFiles. В этой директории каждому сайту назначается отдельная поддиректория, и в ней содержатся журналы с информацией о запросах, включая методы (GET/POST), URL-адреса, статусы HTTP и другую отладочную информацию. Использование журналов IIS для обнаружения и анализа атак ProxyLogon может быть полезным, так как многие из общедоступных POC (доказательство концепции) атак, доступные в Интернете, пытаются разместить webshell на диске. Анализ журналов IIS может помочь выявить подозрительные запросы или активность, которая может указывать на атаку.

Обнаружение веб шелла

Рис. 2. Обнаружение веб шелла

Журналы MSExchange

В журнале MSExchange если мы обнаружим командлет Set-OabVirtualDirectory с указанным странным URL-адресом в параметре -ExternalUrl, это может служить полезным указателем для выполнения дальнейших действий.

Журналы MSExchang. Обнаружение Proxylogon

Рис. 3. Журналы MSExchang. Обнаружение Proxylogon

ProxyShell — эксплуатация для установки бэкдора

ProxyShell — это набор уязвимостей, обнаруженных в 2021 году, которые затрагивают сервер Microsoft Exchange. Они позволяют злоумышленникам удаленно выполнять произвольный код на серверах Exchange без необходимости предоставления учетных данных. Рекомендуется применить соответствующие патчи безопасности, установить обновления и следовать рекомендациям безопасности от Microsoft, чтобы защитить свои серверы Exchange от этих уязвимостей. После успешного выполнения ProxyLogon, злоумышленники могли использовать ProxyShell для выполнения произвольного кода на сервере Exchange.

Исследование ProxyShell в журналах события

В журналах IIS, которая располежна по пути C:\inetpub\logs\LogFiles нам надо найти подозрительные POST и GET запросы. При поиске Proxyshell, мы должны искать подозрительные запросы POST, содержащие autodiscover.json и Powershell?X-RPS-CAT. Например, активность Proxyshell

2023–11–17 19:18:45 10.0.0.5 POST /autodiscover/autodiscover.json @enu.kz/Powershell?X-Rps-CAT= VgFUB1dpbmRvd3NDQQVCYXNpY0wTVGVzdGluZ0BlbnUua3pVLVMtMS01LTIxLTM0NjAzMTg1MDAtMzYwODczMTk3MC0yOTQ3MTc0MDUxLTUwMEcEBwdTLTEtMS0wBwdTLTEtNS0yBwhTLTEtNS0xMQcIUy0xLTUtMTVFFQ==&Email=autodiscover/autodiscover.json %3F@enu.kz&CorrelationID= ;&cafeReqId=92a03e8b-530a-4f88-b38e-84bdbfac137c; 443–10.0.0.6 Python+PSRP+Client — 200 0 0 10

В Exchange существует функция удаленного взаимодействия PowerShell, которая позволяет читать и отправлять электронные письма. Однако, если функция не связана с аккаунтом почтового ящика, она не может использоваться для управления учетными записями. Необходимо отметить, что злоумышленник, имея прямой доступ к серверу Exchange PowerShell, может модифицировать значение в XRPs-CAT, чтобы проявляться как другой пользователь.

В журнале MSExchange содержит все команды консоли управления Exchange, выполняемые на компьютере. Он использует командлет New-MailboxExportRequest для экспорта почтового ящика пользователя в случайное место файла, которое затем можно использовать для написания веб-оболочки на сервере exchange. Если мы видим, как команда New-MailboxExportRequest вызывается в логах и с подозрительным файлом, то это отличный индикатор.

Обнаружения ProxyShell

Рис. 4. Обнаружения ProxyShell

Здесь мы видим, как пользователь Testing загружает обратную оболочку. Обратная веб-оболочка импортируется как электронное письмо в почтовый ящик пользователя. Затем экспортируется С:\inetpub\wwwroot\aspnet_client [2, 3].

Заключение

Для защиты от этих уязвимостей рекомендуется незамедлительно применить соответствующие патчи безопасности и установить обновления от Microsoft. Также важно следовать рекомендациям по обеспечению безопасности, таким как ограничение доступа к серверам Exchange, управление привилегиями пользователей и мониторинг активности на сервере.

Безопасность Exchange является критическим аспектом для защиты конфиденциальности и интегритета электронной почты в организации. Регулярное обновление и применение патчей, а также внедрение мер безопасности, помогут снизить риск эксплуатации уязвимостей и обеспечить надежную защиту серверов Exchange.

Лит:

  1. https://learn.microsoft.com/ru-ru/exchange/architecture/architecture?view=exchserver-2019
  2. https://github.com/FDlucifer/Proxy-Attackchain
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021–27065
  4. https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/
  5. https://www.microsoft.com/ru-ru/microsoft-365/outlook/web-email-login-for-outlook
Основные термины (генерируются автоматически): IIS, POST, ECP, GET, OWA, сервер, журнал, HTTP, злоумышленник, произвольный код.


Задать вопрос