Secion deckt aggressive Ausbreitungslogik des Exchange-Hacks in Estonine-Schadsoftware auf

Das BSI hat den aktuellen Microsoft-Exchange-Hack für Unternehmen als „IT-Bedrohungslage: 4/Rot“ eingestuft. Die festgestellten Sicherheitslücken werden aktiv ausgenutzt und ermöglichen einen Vollzugriff auf den betroffenen Exchange-Server.

Clemens Rambow, Offensive Security Consultant von Secion, hat Schadcode einer der Angreifergruppen im Deep-Dive unter die Lupe genommen. Dabei hat er neue Erkenntnisse hinsichtlich der automatisierten Ausbreitung gewonnen.

Wie die Betrachtung der Estonine-Schadsoftware zeigt, reichen Patchen und Bereinigen des betroffenen Exchange-Systems nicht aus. Sobald automatische Ausbreitungsroutinen oder auch manuelle Ausbreitungsaktivitäten ins Spiel kommen, kann unmittelbar davon ausgegangen werden, dass weitere Systeme betroffen sind.

So beinhaltet beispielsweise „update.png“ folgende Funktionalitäten, die komplett automatisiert eingesetzt werden:

  • Auslesen von Passwörtern und Passworthashes via Mimikatz;
  • Nachladen weiterer PowerShell-Skripte;
  • Netzwerkscans, um weitere Angriffsziele zu ermitteln;
  • Ausbreitung via SMB, Pass-the-Hash und EternalBlue;
  • Mechanismen, um sich dauerhaft auf infizierten Systemen einzunisten.

Info: Genaue Informationen zur Vorgehensweise des Threat-Hunters sowie detaillierte Einblicke in die Charakteristik der Schadsoftware  wie auch  Handlungsempfehlungen für Unternehmen, wie sie die Ausbreitung nachverfolgen und C2-Kommunikation erkennen können, finden sich hier:
https://www.secion.de/de/blog/blog-details/exchange-hack-deep-dive.

#Secion