1. Hive ransomware 배포를 위해 사용된 Microsoft Exchange server
- Hive ransomeware analysis: https://www.varonis.com/blog/hive-ransomware-analysis
Hive 랜섬웨어 계열사에서 ProxyShell에 취약한 MS Exchange 서버를 대상으로 Cobalt Strike beacon을 비롯한 다양한 백도어를 배포했다. 공격자는 이를 통해 네트워크 정찰을 수행하고, 관리자 계정 자격증명을 훔쳐 중요한 데이터를 추출한 후 파일 암호화 페이로드를 배포하게 된다.
ProxyShell
3개의 연결된 MS Exchange 취약점을 사용하여 RCE를 수행하는 공격의 이름이다.
- CVE-2021-34473: 사전 인증 경로 혼동으로 인한 ACL 우회
- CVE-2021-34523: Exchange PowerShell 백엔드에 대한 권한 상승
- CVE-2021-31207: 인증 이후 Arbitary-File-Write로 인한 RCE
상세
ProxyShell은 RCE를 허용하는 취약점 집합으로, 이 취약점에 대한 익스플로잇이 사용 가능해진 후에는 Conti, BlackByte, Babuk, Cuba, LockFile 등 다양한 랜섬웨어 그룹에서 사용되었다.
이를 통해 공격자는 접근 가능한 Exchange 디렉토리에 4개의 웹쉘을 설치한 후 높은 권한으로 PowerShell 코드를 실행하여 Cobalt Strike beacon을 다운로드 했다.
이 공격에 사용된 웹쉘은 https://github.com/ThePacketBender/webshells 에서 제공되었으며, 검사를 우회하기 위해 이름만 무작위로 변경되었다.
공격자는 mimikatz를 통해 도메인 관리자 계정을 훔치고 Letaral movement를 통해 더 많은 자산에 접근한다. 이를 통해 중요한 데이터를 찾고 피해자가 더 큰 몸값을 지불하도록 압력을 가했다.
이러한 공격의 잔재로는 삭제된 네트워크 스캐너, IP 주소 목록, 장치 및 디렉토리 열거, 백업 서버에 대한 RDP, SQL DB 스캔 등이 있었다. 네트워크 스캐너로는 ping을 통해 결과를 텍스트 파일에 저장해서 라이브 호스트를 확인하는 SoftPerfect가 있었다고 한다.
'깔짝할짝' 카테고리의 다른 글
| 2022-05-09 Mon (0) | 2022.05.09 |
|---|---|
| 2022-04-25 Mon (0) | 2022.04.25 |
| 2022-04-19 Tue (0) | 2022.04.19 |
| 2022-04-14 Thur (0) | 2022.04.14 |
| 2022-04-13 Wed (0) | 2022.04.13 |