腾讯企业邮箱，Squirrelwaffle利用ProxyShell和ProxyLogon实施电子邮件攻击

Squirrelwaffle运用ProxyShell以及ProxyLogon实施电子邮件侵略  邮箱网    492次浏览  2022年01月10日 星期一 20:41 邮箱网讯 1月10日新闻 运用电子邮件建议侵略是种种侵略机关屡试不爽的方式，以前的多少年中 Emotet 不断是运用电子邮件建议侵略的大头，但在 Emotet 家族被多国政府法律根除了后，尚未有机关可能成为领头羊。 从 2021 年 9 月开始，钻研职员陆续发现良多带有恶意 Office 文档附件的剩余邮件在大批转达。与 Emotet 相似，这些侵略行动运用被盗的电子邮件建议侵略，内容看起来是对于已经有邮件的回覆，着实是搜罗下载恶意 ZIP 文件的超链接。Squirrelwaffle 的这种侵略策略会飞腾受益者对于恶意行动的提防能耐，经由跟踪合成，钻研职员以为Squirrelwaffle运用了 ProxyLogon 以及 ProxyShell 倾向运用链。 钻研职员审核了*近爆发在中东的多少起与 Squirrelwaffle 相关的侵略使命。这导致对于这些侵略的初始碰头可能有更深入的审核，看看侵略是否波及上述倾向运用。 钻研职员审核到的所有侵略都源自外部部署的 Microsoft Exchange 效率器，这些效率器彷佛简略受到 ProxyLogon 以及 ProxyShell 的侵略。在这篇文章中，咱们将更深入地清晰了这些审核到的初始碰头技术以及 Squirrelwaffle 行动的早期阶段。 合成Exchange所受到的侵略 钻研职员在三个Exchange效率器上的IIS日志中都发现了倾向CVE-2021-2685五、CVE-2021-34473以及CVE-2021-34523被运用的痕迹，ProxyLogon (CVE-2021-26855) 以及 ProxyShell (CVE-2021-34473 以及 CVE-2021-34523) 侵略中运用了相同的 CVE。微软在 3 月份宣告了 ProxyLogon 的补钉，那些运用了 5 月或者 7 月更新的用户可省患上受 ProxyShell 倾向的影响。 CVE-2021-26855：预认证署理倾向 此效率器端恳求伪造 (SSRF) 倾向可经由向 Exchange 效率器发送特制的 Web 恳求来应承侵略者妨碍碰头。Web 恳求搜罗一个指向 Exchange Web 效率 (EWS) API 终真个 XML 负载。 该恳求运用自界说的 cookie 绕过身份验证，并应承未经身份验证的侵略者实施在 XML 负载中编码的 EWS 恳求，而后*终对于受益者的邮箱实施操作。 在对于 IIS 日志的合成中，咱们看到侵略者在其侵略中运用了果真可用的倾向。此倾向使侵略者可能取患上用户 SID 以及电子邮件。他们致使可能搜查以及下载目的的电子邮件。图 1 到图 3 突出展现了来自 IIS 日志的证据并展现了倾向运用代码。 正如在IIS日志中看到的那样，运用CVE-2021-26855 日志还展现，侵略者运用 ProxyLogon 倾向取患上该特定用户的 SID 以及电子邮件，以运用它们发送恶意剩余邮件。 负责取患上倾向运用挨次中 SID 的函数 侵略中运用的用户署理 CVE-2021-34473：预认证道路凌乱 这个ProxyShell倾向滥用了显式登录URL的URL尺度化，其中，假如后缀是autodiscover/ autodiscovery .json，登录电子邮件将从URL中删除了。这将付与恣意后端URL与Exchange合计机帐户(NT AUTHORITY\SYSTEM)相同的碰头权限。 运用 CVE-2021-34473 CVE-2021-34523：Exchange PowerShell 后端权限提升 Exchange 具备 PowerShell 短途处置功能，可用于浏览以及发送电子邮件。NT AUTHORITY\SYSTEM 不能运用它，由于它不邮箱。可是，在经由前面的倾向直接碰头的情景下，可能向后端/PowerShell 提供 X-Rps-CAT 查问字符串参数。backen/PowerShell 将被反序列化并用于复原用户身份。因此，它可用于模拟当地规画员来运行 PowerShell 命令。 运用 CVE-2021-34523 目的收到的恶意剩余邮件 有了这个，侵略者将可能劫持正当的电子邮件链并将他们的恶意剩余邮件作为对于所述链的回覆发送。 恶意剩余邮件 经由 MTA 路由的恶意剩余邮件 在相同的侵略中，钻研职员合成了收到的恶意邮件的邮件问题，邮件道路是外部的（在三个外部交流效率器的邮箱之间），表明邮件不是来自外部发件人、凋谢邮件中继或者任何新闻传输署理 (MTA)。 恶意 Microsoft Excel 文档 运用此技术将恶意剩余邮件发送到所有外部域用户将飞腾检测或者克制侵略的可能性，由于邮件逃逸者将无奈过滤或者阻止任何这些外部电子邮件。侵略者在碰头易受侵略的 Exchange 效率器后也不释放或者运用工具妨碍横向挪移，因此不会检测就职何可疑的收集行动。此外，在恶意电子邮件在全部情景中转达以前，不在 Exchange 效率器上实施会触发任何警报的恶意软件。 恶意的 Microsoft Excel 文件 恶意电子邮件中运用的两个链接（aayomsolutions[.]co[.]in/etiste/quasnam[]-4966787 以及 aparnashealthfoundation[.]aayom.com/quasisuscipit/totamet[-]4966787）都在合计机中附加了一个 ZIP 文件。在这本例中，ZIP 文件搜罗一个恶意的 Microsoft Excel 表格，该表格下载并实施与 Qbot 相关的恶意 DLL。 Excel 4.0 宏 这些使命表搜罗负责下载以及实施恶意 DLL 的恶意 Excel 4.0 宏。 Excel 文件熏染链 电子表格从 hxxps:[//]iperdesk.com/JWqj8R2nt/be.html、hxxps:[//]arancal.com/HgLCgCS3m/be.html 以及 hxxps:[//]grandthumco.in/9Z6DH5h5g/be.html 的硬编码 URL 下载 DLL。 DLL 被释放在 C:\Datop\ 中，*后，该文档运用如下命令实施 DLL： DLL 熏染流程 清静建议 如上所述，经由运用 ProxyLogon 以及 ProxyShell，侵略者可能绕过原本可能克制恶意电子邮件转达的老例魔难。这突出了用户若何在侵略的乐成或者失败中发挥紧张熏染。Squirrelwaffle 行动理当让用户小心用于拆穿困绕恶意电子邮件以及文件的差距策略。来自受信托分割人的电子邮件可能缺少以表明电子邮件中搜罗的任何链接或者文件都是清静的。 务必确保已经运用针对于 Microsoft Exchange Server 倾向的补钉，特意是 ProxyShell 以及 ProxyLogon（CVE-2021-3447三、CVE-2021-34523 以及 CVE-2021-31207）。微软重申，那些在 3 月份为 ProxyLogon 运用补钉的人不受 ProxyShell 倾向的呵护，理当装置更新（5 月或者 7 月）的清静更新。 如下是需要思考的其余清静*佳实际： 在所有 Exchange 效率器上启用伪造修补模块，以便为尚未针对于这些倾向修补的效率器提供关键级此外呵护； 在关键效率器中运用终端检测以及照应 (EDR) 处置妄想，由于它提供合计机外部的可见性并检测效率器上运行的任何可疑行动； 对于效率器运用终端呵护妄想； 在电子邮件、收集以及收集上运用沙盒技术，用于检测相似的 URL 以及样本颇为紧张； 用户还可能抉择经由托管检测以及照应 (MDR) 来呵护零星，它运用先进的家养智能来分割关连劫持并判断其优先级，以判断它们是否是更猛侵略的一部份。 标签:电子邮件侵略Squirrelwaffle