Cobalt Strike と Microsoft Exchange Server の脆弱性を利用した侵害事例のフォレンジック分析

AhnLab ASEC 分析チームは、過去のブログで韓国国内企業をターゲットに拡散している内容に関しても取り上げてきたように、近年のセキュリティ問題の一つである Cobalt Strike の活動を持続的にモニタリングしている。(過去のブログは下記のリンクを参照)

モニタリング中、特定の IP において7月15日と8月2日に Cobalt Strike の活動が発生したことを検知し、当該 IP のクライアントに解析を勧めてフォレンジックを行った。侵害事例が起きたシステムにおいて攻撃者の行動を追跡した結果、今年3月に流行した Microsoft Exchange Server の脆弱性を利用して侵害を受けたことが確認された。

Microsoft Exchange Server の脆弱性4つは ProxyLogon と呼ばれ、今年3月に公開された。この脆弱性を利用すると、不正な HTTP をリクエストしてバックエンドシステムの認証を回避することができ、任意のファイルの書き込みが可能となる。

  • CVE-2021-26855 (Microsoft Exchange Server リモートコード実行の脆弱性)
  • CVE-2021-26857 (Microsoft Exchange Server リモートコード実行の脆弱性)
  • CVE-2021-26858 (Microsoft Exchange Server リモートコード実行の脆弱性)
  • CVE-2021-27065 (Microsoft Exchange Server リモートコード実行の脆弱性)

攻撃者は、外部から Microsoft Exchange Server を運用するクライアントの OWA(Outlook Web App)サイトにアクセスし、バックエンドシステムの認証を回避(CVE-2021-26855)し、ファイル書き込みの脆弱性(CVE-2021-26858、CVE-2021-27065)を利用して Web シェルをアップロードした。

そのクライアントの電子メールサーバーには脆弱性が公開された直後の3月3日から、合計60個の IP において Microsoft Exchange Server の脆弱性を狙った攻撃が流入したことが確認された。流入した攻撃は、攻撃の時点、IP、不正な振る舞い等を基準に3つのグループに分類することができる。

[図1] – 侵害のフロー図

攻撃グループ1

攻撃グループ1は、3月3日に脆弱性による攻撃を試みたが、Web シェルを生成したり、追加の不正な振る舞いを実行したりすることはなかった。ただし、この時に使用された86.105.18[.]116 IP は「The Opera Cobalt Strike」と呼ばれる攻撃グループの C2 IP のうちの一つであることが確認された。

項目攻撃グループ1の特徴
攻撃時点– 2021年 3月3日 16時48分14秒
攻撃者の IP– 86.105.18[.]116
不正な振る舞い– Microsoft Exchange Server の脆弱性を利用した攻撃
脆弱性を利用した攻撃のファイル名– /ecp/y.js
Web シェルのファイル名– なし (Web シェル呼出なし)
UserAgent– python-requests/2.18.4
– ExchangeServicesClient/0.0.0.0
[表1] – 攻撃グループ1の特徴
[図2] – 攻撃グループ1の侵害攻撃の痕跡 (IIS Log)

攻撃グループ2

脆弱性のみをテストした攻撃グループ1とは異なり、攻撃グループ2に分類した攻撃では脆弱性攻撃の後に Web シェルを生成し、これを利用して Cobalt Strike を利用した後続の攻撃を実行した。

攻撃者は Web シェルを利用して C:\Windows\System32 に Cobalt Strike Stager の oci.dll ファイルを生成し、これを利用して Cobalt Strike Beacon を msdtc.exe プロセスのメモリにロードして実行した。これらの Cobalt Strike Beacon の活動は AhnLab のモニタリングシステムによって7月15日および8月2日に検知された。

攻撃者は Active Directory のアカウント情報を収集するために Active Directory の DB ファイルである ntds.dit とレジストリハイブファイルの SYSTEM、SECURITY ファイルを C:\test フォルダーにコピーした後、流出している。  また、Windows にログオンするアカウント情報を収集するために NPLogonNotify API をフックして、パスワードを収集する機能を有するマルウェアである ns.dll を使用している。結果、攻撃者は60個のローカルおよびドメインアカウントの平文パスワードを確保して流出した。

項目攻撃グループ2の特徴
攻撃時点– 2021年 3月3日 18時52分29秒
攻撃者の IP– 158.247.227[.]46
不正な振る舞い– Microsoft Exchange Server の脆弱性を利用した攻撃
– Cobalt Strike Beacon の実行
– アカウント名、パスワードを収集するマルウェアの実行 (ns.dll)
– 60個のアカウント名と平文パスワードの収集および流出
– Active Directory DB ファイルの流出 (ntds.dit)
– レジストリハイブファイルの流出 (SYSTEM, SECURITY)
– psloggedon64.exe、pvefindaduser.exe を利用したログオンアカウントの確認
– 確保した Admin アカウントを利用して内部システムの追加侵害
脆弱性を利用した攻撃のファイル名– /ecp/x.js
Web シェルのファイル名– error.aspx
– logout.aspx
UserAgent– python-requests/2.23.0
– python-requests/2.25.1
– ExchangeServicesClient/0.0.0.0
– Mozilla/5.0+(compatible;+Nmap+Scripting+Engine;+hxxps://nmap[.]org/book/nse.html)
– antSword/v2.1 (Web シェル管理 Opensource ツール)
[表2] – 攻撃グループ2の特徴
[図3] – 攻撃グループ2の侵害の痕跡 (IIS Log)

攻撃グループ3 

これまでに説明した攻撃グループ1および2とは区分される侵害の痕跡も発見された。3月4日、Web シェルが呼び出され、異なるタイプの PE バックドア型マルウェアがサービスに登録された。

項目攻撃グループ3の特徴
攻撃時点– 2021年 3月4日 22時14分59秒
攻撃者の IP– 115.144.69[.]20
– 103.127.124[.]117
不正な振る舞い– Microsoft Exchange Server の脆弱性を利用した攻撃が IIS ログ上で確認されない
– PE バックドアの実行
脆弱性を利用した攻撃のファイル名– 未確認
Web シェルのファイル名– shell.aspx
UserAgent– antSword/v2.1 (Web シェル管理用の OpenSource ツール)
[表3] – 攻撃グループ3の特徴
[図4] – 攻撃グループ3の侵害の痕跡 (IIS Log)

攻撃グループ3は3月4日の脆弱性をついた攻撃に成功した後、バックドア型マルウェア(TosBtKbd.dll)と Bluetooth キーボードプログラム(avupdate.exe)をダウンロードした。

avupdate.exe の元のファイル名は TosBtkbd.exe であり、2008年7月24日にコンパイルされ、TOSHIBA 社によって正常に署名がなされた Bluetooth キーボード関連のプログラムである。このプログラムは、実行される時に同じフォルダー内にある TosBtKbd.dll ファイルをロードする脆弱性を持っており、攻撃者が不正な DLL をロードさせるために流入させたものと思われる。avupdate.exe が実行されると、バックドアの TosBtKbd.dll がロードされる。

PE バックドアの実行以外の不正な振る舞いは確認されなかった。

[図5] – TosBtKbd.exe (= avupdate.exe) ファイルの署名情報

結論

  • ワンデイ脆弱性攻撃は、セキュリティパッチが公開された直後の既知の脆弱性を利用した攻撃であり、リアルタイムのパッチ適用が難しい環境ではこのような攻撃に対して脆弱とならざるを得ない。
  • 脆弱性が公開されると多数の攻撃グループがこれを利用した攻撃に集中するようになり、それらのうちいくつかは単純なスキャンにとどまらず、実質的な被害を与える。
  • 攻撃者は、脆弱性をついた攻撃に成功してシステムの制御権を確保した後、Cobalt Strike や自主制作したバックドアを利用して情報を収集し、内部ネットワークに侵入した。
  • 攻撃者の目標はアカウント情報の収集であると思われ、60余りの職員のアカウントパスワードが漏えいしたため、職員それぞれが利用している他のオンラインサービスにも2次被害が発生する恐れがある。
  • 正常に署名された実行ファイルも攻撃時に活用される場合がある。
  • Active Directory サーバーは外部に公開されないよう内部で運用し、インターネットへの直接のアクセスを遮断しなければならない。
  • 内部システムは管理者アカウントである administrator のパスワードにすべて同じものを使用していたため、内部ネットワークのシステム全体が容易に掌握された。パスワードの複雑性を向上させ、システム毎にアカウント/パスワードをそれぞれ個別に設定しなければならない。

当該侵害システムにおいて発見されたファイルに関する V3 検知情報と IOC 情報は、以下の通りである。

[ファイル検知]

Exploit/ASP.Cve-2021-27065.S1406
WebShell/JSP.Chopper
InfoStealer/Win.WinAuthSniff
Downloader/Win.Stager
Unwanted/Win.Proxy
Backdoor/Win.Agent.R437776
Exploit/ASP.Cve-2021-27065.S1406
Exploit/ASP.Cve-2021-27065.S1406
Exploit/ASP.Cve-2021-27065.S1406
Exploit/ASP.Cve-2021-27065.S1406
Exploit/ASP.Cve-2021-27065.S1406
Trojan/Win32.RL_Cometer

[IOC 情報]

D348530A2D16E4D4FF809F01FE4DAF9C
66379AD443C432E68555C9CF5655F56B
AC465E35ED0B83D6E9731E06DB52ADE3
5E4C5509E09AE780C3B3F9CF29259005
F860286242AFC5151D9FF68F0C7B8A56
682DC12E435A91F75703B165C61713AD
1B1BACF2C91E8A48EAF813AE69C5E30C
F676B511BF5F0BDEEBC8E7B8E00C400C
9A73B05682F1160D0B78F43EF29A465F
38F58DD9CEC38F9026527E3F0285354E
321B04FCDD6BA92CEA4435E5DA269036
377e5d1bf1c2f64d7032607641dd938f

103.127.124[.]117
115.144.69[.]116
115.144.69[.]20
139.162.123[.]108
141.164.34[.]38
158.247.207[.]201
158.247.227[.]46
161.129.64[.]124
172.105.18[.]72
172.105.228[.]71
77.83.159[.]15
86.105.18[.]116
89.34.111[.]11

back.rooter[.]tk
hxxp://172.105.228[.]71:80/9Aot
hxxp://172.105.228[.]71:80/ptj
hxxp://34.90.207[.]23/ip
hxxp://cloudflare.linker[.]best/nova_assets/Sys/_Getcode/keywords=ed4520486
hxxp://p.estonine[.]com/p?e
kr3753.co[.]in
lab.symantecsafe[.]org
mm.portomnail[.]com
rawfuns[.]com
www[.]averyspace[.]net
www[.]domesfocus[.]com
www[.]eamoncar[.]com
www[.]komdsecko[.]net
yolkish[.]com

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

[関連スレッド情報]

https://asec.ahnlab.com/ko/21083/
https://asec.ahnlab.com/jp/22732/

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments