في هذا المنشور، قمنا بالتحقيق في برنامج الفدية Conti الذي أصاب Microsoft Exchange عبر سلسلة من نقاط الضعف. استخدمنا المواد المخبرية من غرفة TryHackMe Conti.
كان خادم Microsoft Exchange عرضة للتهديدات CVE-2020-0796 وCVE-2018-13374 وCVE-2018-13379 مما جعله مفتوحًا لأنواع أخرى من الهجمات مثل تلك التي تمت مناقشتها في هذا المنشور، وهو هجوم Conti Ransomware على Microsoft Exchange.
تم تسليم برنامج الفدية من خلال استغلال الثغرات الأمنية المذكورة أعلاه والحصول على غلاف عكسي من خلال Powershell. انتقل المهاجمون بعد ذلك إلى عمليات أخرى لتحقيق الثبات وقاموا بتحميل غلاف ويب تمكنوا من خلاله من تنزيل برنامج Conti Ransomware وتشفير الملفات على محطات العمل.
يمكنك التحقق من مشاركة مفصلة كاملة هنا
احصل على ملاحظات Splunk الميدانية
إجابات المهمة
هل يمكنك تحديد موقع برنامج الفدية؟
C:\المستخدمين\المسؤول\المستندات\cmd.exe
ما هو معرف حدث Sysmon لحدث إنشاء الملف ذي الصلة؟
11
هل يمكنك العثور على تجزئة MD5 لبرنامج الفدية؟
290c7dfb01e50cea9e19da81a781af2c
ما الملف الذي تم حفظه في مواقع مجلدات متعددة؟
readme.txt
ما هو الأمر الذي استخدمه المهاجم لإضافة مستخدم جديد إلى النظام المخترق؟
مستخدم صافي / إضافة Securityninja hardToHack123$
قام المهاجم بترحيل العملية لتحقيق ثبات أفضل. ما هي صورة العملية المنقولة (القابلة للتنفيذ)، وما هي صورة العملية الأصلية (القابلة للتنفيذ) عندما يصل المهاجم إلى النظام؟
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe،C:\Windows\System32\wbem\unsecapp.exe
قام المهاجم أيضًا باسترداد تجزئات النظام. ما هي صورة العملية المستخدمة للحصول على تجزئات النظام؟
C:\Windows\System32\lsass.exe
ما هو برنامج استغلال الويب الذي تم نشره في النظام؟
i3gfPctK1c2x.aspx
ما هو سطر الأوامر الذي نفذ قذيفة الويب هذه؟
attrib.exe -r \\win-aoqkg2as2q7.bellybear.local\C$\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\i3gfPctK1c2x.aspx
ما هي ثلاثة تحديات للتطرف العنيف استغلت هذا النفوذ؟
CVE-2020-0796،CVE-2018-13374،CVE-2018-13379
