In diesem Beitrag haben wir die Conti-Ransomware untersucht, die Microsoft Exchange über eine Reihe von Schwachstellen befiel. Wir verwendeten Labormaterial von TryHackMe Conti-Raum.

Der Microsoft Exchange Server war anfällig für CVE-2020-0796, CVE-2018-13374 und CVE-2018-13379 und damit anfällig für andere Arten von Angriffen, wie beispielsweise den in diesem Beitrag besprochenen Conti-Ransomware-Angriff auf Microsoft Exchange.

Die Ransomware wurde durch Ausnutzen der oben genannten Schwachstellen und Erlangen einer Reverse Shell über Powershell verbreitet. Die Angreifer migrierten dann zu anderen Prozessen, um Persistenz zu gewährleisten, und luden eine Webshell hoch, über die sie die Conti-Ransomware herunterladen und Dateien auf Workstations verschlüsseln konnten.

Sie können einen vollständigen, detaillierten Beitrag lesen Hier

Holen Sie sich Splunk Field Notes

Aufgabenantworten

Können Sie den Standort der Ransomware identifizieren?
C:\Benutzer\Administrator\Dokumente\cmd.exe
Was ist die Sysmon-Ereignis-ID für das zugehörige Dateierstellungsereignis?

11
Können Sie den MD5-Hash der Ransomware finden?

290c7dfb01e50cea9e19da81a781af2c
Welche Datei wurde an mehreren Ordnerspeicherorten gespeichert?

readme.txt
Welchen Befehl hat der Angreifer verwendet, um dem kompromittierten System einen neuen Benutzer hinzuzufügen?

Netzbenutzer /add securityninja hardToHack123$
Der Angreifer hat den Prozess migriert, um eine bessere Persistenz zu erreichen. Was ist das migrierte Prozessabbild (ausführbare Datei) und was ist das ursprüngliche Prozessabbild (ausführbare Datei), als der Angreifer auf das System zugegriffen hat?

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe,C:\Windows\System32\wbem\unsecapp.exe
Der Angreifer hat auch die System-Hashes abgerufen. Welches Prozessabbild wird zum Abrufen der System-Hashes verwendet?

C:\Windows\System32\lsass.exe
Was ist die Web-Shell, die der Exploit im System bereitgestellt hat?

i3gfPctK1c2x.aspx
Wie lautet die Befehlszeile, die diese Web-Shell ausgeführt hat?

attrib.exe -r \\win-aoqkg2as2q7.bellybear.local\C$\Programme\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\i3gfPctK1c2x.aspx
Welche drei CVEs wurden durch diesen Exploit ausgenutzt?

CVE-2020-0796,CVE-2018-13374,CVE-2018-13379

Video-Anleitung

 
, , , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen