Недостатки Microsoft Exchange ProxyShell, использованные в новой атаке на крипто-майнинг

Новая вредоносная программа, получившая название "ProxyShellMiner", использует уязвимости Microsoft Exchange ProxyShell для развертывания майнеров криптовалют по всему домену Windows с целью получения прибыли злоумышленниками.

ProxyShell - это название трех уязвимостей Exchange, обнаруженных и исправленных Microsoft в 2021 году. Объединенные в цепочку уязвимости допускают удаленное выполнение кода без проверки подлинности, позволяя злоумышленникам получить полный контроль над сервером Exchange и подключиться к другим частям сети организации.

В атаках, замеченных Morphisec, атакующие используют уязвимости ProxyShell, отслеживаемые как CVE-2021-34473 и CVE-2021-34523, чтобы получить первоначальный доступ к сети организации.

Затем атакующие помещают полезную нагрузку вредоносного ПО .NET в папку NETLOGON контроллера домена, чтобы убедиться, что вредоносное ПО запущено на всех устройствах в сети.

Для активации вредоносной программы требуется параметр командной строки, который также используется в качестве пароля для компонента XMRig miner.


рис. Специальный параметр командной строки (Morphisec)

"ProxyShellMiner использует встроенный словарь, алгоритм дешифрования XOR и ключ XOR, загруженный с удаленного сервера", - сообщается в отчете Morphisec.

""Затем он использует компилятор C# CSC.exe с параметрами компилятора "В памяти" для выполнения следующих встроенных модулей кода."

На следующем этапе вредоносная программа загружает файл с именем "DC_DLL" и выполняет .NET reflection для извлечения аргументов для планировщика задач, XML и ключа XMRig. DLL-файл используется для расшифровки дополнительных файлов.

Второй загрузчик обеспечивает своё постоянное присутствие в зараженной системе, создавая запланированную задачу, которая настроена для запуска при входе пользователя в систему. Наконец, второй загрузчик загружается с удаленного ресурса вместе с четырьмя другими файлами.

рис. Деобфусцированная запланированная задача (Morphisec)

Этот файл решает, какой браузер из установленных в скомпрометированной системе будет использоваться для внедрения майнера в ее пространство памяти, используя метод, известный как "process hollowing". После этого он выбирает случайный пул майнинга из жестко запрограммированного списка, и начинается майнинг.


рис Выбор пула майнинга (Morphisec)

Последним шагом в цепочке атак является создание правила брандмауэра, блокирующего весь исходящий трафик, которое применяется ко всем профилям брандмауэра Windows.

Цель этого - снизить вероятность обнаружения защитниками маркеров заражения или получения каких-либо предупреждений о потенциальной компрометации от взломанной системы.

Чтобы обойти средства безопасности, отслеживающие поведение процесса во время выполнения, вредоносная программа ожидает не менее 30 секунд после завершения работы браузера, прежде чем создавать правило брандмауэра. Возможно, майнер продолжает взаимодействовать со своим майнинговым пулом через бэкдор, который не отслеживается средствами безопасности.


рис Добавление правила брандмауэра для блокировки всего исходящего трафика (Morphisec)

Morphisec предупреждает, что воздействие этого вредоносного ПО выходит далеко за рамки обычного заражения майнером, таких как простои в обслуживании запросов, снижения производительности сервера и перегрева компьютеров.

Как только злоумышленники закрепятся в сети, они могут делать все, что угодно, от развертывания бэкдора до выполнения кода.

Чтобы снизить риск заражения ProxyShellMiner, Morphisec рекомендует всем администраторам применять доступные обновления для системы безопасности и использовать комплексные и многогранные стратегии обнаружения угроз и защиты.

Источник: https://www.bleepingcomputer.com/ne...-flaws-exploited-in-new-crypto-mining-attack/