[하루한줄] Microsoft Exchange server 제로 데이 취약점 악용

URL

Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities

Target

• 2021년 3월 2일 자 패치 이전의 Microsoft Exchange Server
  • 2013 Cumulative Update 23
  • 2016 Cumulative Update 18
  • 2016 Cumulative Update 19
  • 2019 Cumulative Update 7
  • 2019 Cumulative Update 8

Explain

Microsoft Exchange Server의 제로 데이 취약점을 악용한 공격이 발견되었습니다. 발견된 행위는 접속 유지를 위한 웹 쉘 생성, 원격 코드 실행, 엔드 포인트 보안 솔루션 탐지입니다.

2021년 1월에 발견된 help.aspx 웹 쉘은 FireEye xAgent, CarbonBlack, CrowdStrike Falcon 엔드 포인트 제품을 탐지하고 존재 여부를 작성하는 코드를 포함합니다. 해당 웹 쉘은 CVE-2021-26858을 악용하여 Microsoft Exchange Server의 통합 메시징 서비스인 UMWorkerProcess.exe를 통해 생성됩니다.

다른 곳에서 발견된 iisstart.apsx 웹 쉘은 부분적으로 난독화되어 있으며, 파일 시스템과 통신하기 위한 기능, 임의 명령 실행, 업로드, 삭제, 파일 내용 확인 등의 기능을 포함합니다.

2021년 3월에는 Exchange Server의 여러 취약점을 악용하여 여러 개의 웹 쉘이 업로드되었습니다. 해당 웹 쉘은 Exchange 웹 프론트 엔드와 관련된 IIS 프로세스인 w3wp.exe가 cmd.exe를 생성하게 만듭니다.

위의 발견된 웹 쉘 다수는 Exchange Organization administrators 그룹에서 administrator 사용자를 삭제하는 net group "Exchange Organization administrators" administrator /del /domain 명령을 수행합니다. 단일 시스템 도메인을 사용하면, 로컬에서 해당 명령이 수행됩니다.

Microsoft에서 밝힌 추가적인 악용 행위는 다음과 같습니다.

• LSASS 프로세스 메모리 덤프를 통한 자격 증명 도용
• 7zip을 사용하여 유출 데이터 압축
• Exchange PowerShell Snapin을 통해 mailbox data 전송
• 원격 접속을 위해 추가적으로 Covenant, Nishang, PowerCat 사용

Exchange Server가 웹 쉘에 공격을 받았는지 확인하는 방법은 다음과 같습니다.

• C:\Windows\System32\inetsrv\w3wp.exe 프로세스가 cmd.exe 자식 프로세스를 가짐
• w3wp.exe나 UMWorkerProcess.exe에 의해 파일이 생성
• SYSTEM 사용자가 소유한 ASPX 파일이 존재
• Temporary ASP.NET Files 디렉터리에 처음 보는 컴파일된 ASPX 파일 존재
• 다음 리소스에 대해 외부 IP를 검사합니다.
  • /rpc/ 디렉터리
  • /ecp/DDI/DDIService.svc/SetObject
  • 존재하지 않는 리소스
  • 의심스럽거나 스푸핑 된 HTTP User-Agents
• 메일 박스로 내보내는 예상치 못하거나 의심스러운 Exchange PowerShell Snapin request가 존재