Banyak server Microsoft Exchange sedang ditambal, tetapi Microsoft memperingatkan bahwa penyelidikannya telah menemukan banyak ancaman yang bersembunyi di sistem yang sudah disusupi.
Microsoft meningkatkan peringatan atas potensi serangan lanjutan yang menargetkan server Exchange yang sudah disusupi, terutama jika peretas menggunakan skrip web shell untuk terus persisten bertahan di server, atau saat pelaku mencuri kredensial selama serangan sebelumnya.
Microsoft merilis patch/tambalan untuk sistem lokal Exchange pada 2 Maret. Empat bug Exchange telah diserang oleh grup hacker yang disponsori negara bernama Hafnium. Microsoft awal pekan ini mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah menerapkan mitigasi. Namun, dari informasi diketahui sekitar puluhan ribu server Exchange telah dibobol.
Tren ancaman
Microsoft terus memantau dan menyelidiki serangan yang mengeksploitasi kerentanan Exchange server lokal baru-baru ini. Serangan ini sekarang dilakukan oleh banyak pelaku ancaman mulai dari penjahat dunia maya yang bermotivasi finansial hingga kelompok yang disponsori negara.
Untuk membantu pengguna yang tidak dapat segera menginstal pembaruan, Microsoft meluncurkan one click tool yang secara otomatis mengurangi salah satu kerentanan dan memindai server untuk serangan yang diketahui.
Dalam investigasi terhadap serangan Exchange Server di tempat, diketahui sistem dipengaruhi oleh beberapa ancaman. Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk tindakan potensial selanjutnya.
Tindakan ini mungkin bagian dari serangan lanjutan melalui persistensi di server Exchange yang telah mereka kuasai, atau menggunakan kredensial dan data yang dicuri selama serangan ini untuk menyusupi jaringan melalui vektor entri lainnya.
Pelaku memasukkan exploit ke dalam toolkit mereka, memanfaatkan peluang mereka untuk mendapatkan akses ke sebanyak mungkin sistem. Beberapa peretas cukup mahir untuk menghapus peretas lain dari sistem dan menggunakan kemampuan diri untuk mempertahankan akses ke jaringan.
Berikut adalah tren ancaman umum yang telah dipantau, dan solusi serta rekomendasi yang ada untuk pencegahan dan mitigasi berlaku:
-
- Web shells – Banyak dari sistem yang belum ditambal memiliki beberapa web shell di dalamnya. Microsoft telah melacak munculnya serangan web shell selama beberapa tahun terakhir, memastikan produk mereka mendeteksi ancaman ini dan memberikan panduan perbaikan bagi pelanggan.
-
- Ransomware – Serangan ransomware menimbulkan risiko keamanan terbesar bagi perusahaan-perusahaan saat ini, dan pelaku di balik serangan ini dengan cepat memanfaatkan kerentanan Exchange Server di lokasi. Berhasil mengeksploitasi kerentanan memberi pelaku kemampuan untuk meluncurkan operasi ransomware yang dioperasikan oleh manusia
-
- Pencurian kredensial – Meskipun pencurian kredensial bukanlah tujuan langsung dari beberapa serangan ini, akses ke server Exchange memungkinkan pelaku untuk mengakses dan berpotensi mencuri kredensial yang ada di sistem. Pelaku dapat menggunakan kredensial yang dicuri ini untuk serangan lanjutan nanti, sehingga perusahaan perlu memprioritaskan identifikasi dan pemulihan identitas yang terkena dampak.
Eksistensi ancaman
DoejoCrypt adalah ransomware pertama yang tampak memanfaatkan kerentanan, mulai mengenkripsi dalam jumlah terbatas tak lama setelah tambalan dirilis. Serangan ransomware sering kali menggunakan beberapa alat dan eksploitasi untuk mendapatkan akses awal, termasuk membeli akses melalui broker atau “pengecer” yang menjual akses ke sistem yang telah mereka susupi. Serangan DoejoCrypt dimulai dengan varian web shell Chopper yang disebarkan pasca eksploitasi server Exchange.
Keluarga ransomware lain yang memanfaatkan kerentanan adalah Pydomer. Keluarga ransomware ini sebelumnya terlihat menggunakan kerentanan dalam serangan, terutama memanfaatkan kerentanan Pulse Secure VPN, di mana Pulse Secure telah merilis patch keamanan, untuk mencuri kredensial dan melakukan serangan ransomware. Dalam kampanye ini, operator memindai dan Server Exchange yang belum ditambal dikompromikan secara massal untuk melepaskan web shell.
Ransomware lain yang dikenal sebagai Black Kingdom, DEMON dan DemonWare menuntut $10.000 untuk pemulihan data terenkripsi. Malware terinstal di server Exchange yang sebelumnya terinfeksi oleh pelaku yang mengeksploitasi kerentanan kritis dalam program email Microsoft. Bahkan setelah Microsoft mengeluarkan tambalan darurat, sebanyak 100.000 server yang tidak memasangnya tepat waktu telah terinfeksi.
Para peretas yang bertanggung jawab di balik serangan itu menyusun web shell yang memungkinkan URL yang mendukung mengontrol server yang disusupi.
Botnet
Penambang Cryptocurrency adalah beberapa dari muatan pertama yang diamati di-drop oleh pelaku dari web shell pasca eksploitasi. Dalam beberapa hari pertama setelah pembaruan keamanan dirilis, diketahui beberapa operasi penambang cryptocurrency, yang sebelumnya menargetkan server SharePoint, menambahkan eksploitasi Exchange Server ke daftar mereka.
Sebagian besar penambang koin ini adalah variasi penambang XMRig, dan banyak yang datang melalui implan multi-fitur dengan kemampuan untuk mengunduh muatan baru atau bahkan bergerak secara lateral.
Lemon Duck, botnet cryptocurrency terkenal yang diberi nama untuk variabel dalam kodenya, terjun ke aksi eksploitasi Exchange, mengadopsi gaya eksploitasi yang berbeda dan memilih untuk menggunakan opsi tanpa file/web tanpa shell untuk beberapa serangan. Sambil tetap mempertahankan operasi berbasis email normal mereka, operator Lemon Duck membobol banyak server Exchange dan bergerak ke arah menjadi lebih sebagai pemuat malware daripada penambang sederhana.
Mitigasi eksploitasi
Hacker setelah berhasil mengeksploitasi kerentanan bervariasi dan sangat luas. Jika Anda telah menentukan atau memiliki alasan untuk mencurigai bahwa ancaman ini ada di jaringan Anda, berikut adalah langkah-langkah segera yang dapat Anda ambil:
-
- Selidiki server Exchange yang terekspos oleh penyusupan, apa pun status tambalannya saat ini.
-
- Cari web shell melalui panduan Microsoft dan jalankan pemindaian AV lengkap menggunakan Exchange On-Premises Mitigation Tool.
-
- Selidiki Pengguna dan Grup Lokal, bahkan pengguna non-administratif untuk perubahan, dan pastikan semua pengguna memerlukan kata sandi untuk masuk.
-
- Setel ulang dan acak kata sandi administrator lokal dengan alat seperti LAPS.
-
- Cari perubahan pada RDP, firewall, WMI subscription, dan konfigurasi Windows Remote Management (WinRM) dari sistem yang mungkin telah dikonfigurasi oleh pelaku untuk memungkinkan persistensi.
-
- Cari Event ID 1102 untuk menentukan apakah pelaku menghapus log peristiwa, aktivitas yang dilakukan pelaku dengan exe dalam upaya menyembunyikan jejak mereka.
-
- Cari mekanisme persistensi baru seperti layanan tak terduga, tugas terjadwal, dan item mulai.
-
- Cari alat TI Bayangan yang mungkin telah dipasang oleh pelaku untuk persistensi, seperti klien non-Microsoft RDP dan akses jarak jauh.
-
- Periksa pengaturan penerusan email tingkat kotak surat, baik atribut ForwardingAddress dan ForwardingSMTPAddress, periksa aturan kotak masuk kotak surat yang mungkin digunakan untuk meneruskan email secara eksternal, dan periksa aturan Exchange Transport yang mungkin tidak Anda kenali.
Selain itu, berikut adalah praktik terbaik untuk membangun higienitas kredensial dan mempraktikkan prinsip hak istimewa paling rendah:
-
- Ikuti panduan untuk menjalankan Exchange dalam konfigurasi dengan hak paling rendah: https://adsecurity.org/?p=4119.
-
- Pastikan akun layanan dan tugas terjadwal berjalan dengan hak istimewa paling sedikit yang mereka butuhkan. Hindari grup yang memiliki hak istimewa seperti admin domain dan operator cadangan dan gunakan akun dengan akses hanya ke sistem yang mereka butuhkan.
-
- Acak kata sandi administrator lokal untuk mencegah pergerakan lateral dengan alat seperti LAPS.
-
- Pastikan administrator mempraktikkan kebiasaan administrasi yang baik seperti Workstation Admin dengan Hak Istimewa.
-
- Cegah akun dengan hak istimewa seperti admin domain masuk ke server anggota dan workstation menggunakan Kebijakan Grup untuk membatasi eksposur kredensial dan pergerakan lateral.