En esta publicación, investigamos el ransomware Conti que afectó a Microsoft Exchange a través de una serie de vulnerabilidades. Utilizamos material de laboratorio de TryHackMe Sala Conti.

El servidor Microsoft Exchange era vulnerable a CVE-2020-0796, CVE-2018-13374 y CVE-2018-13379, lo que lo hacía abierto a otros tipos de ataques como el que se analiza en esta publicación, el ataque Conti Ransomware en Microsoft Exchange.

El ransomware se entregó explotando las vulnerabilidades mencionadas anteriormente y obteniendo un shell inverso a través de Powershell. Luego, los atacantes migraron a otros procesos para establecer la persistencia y actualizaron un webshell a través del cual pudieron descargar el ransomware Conti y cifrar archivos en las estaciones de trabajo.

Puedes consultar una publicación completa y detallada. aquí

Obtenga notas de campo de Splunk

Respuestas de tareas

¿Puedes identificar la ubicación del ransomware?
C:\Usuarios\Administrador\Documentos\cmd.exe
¿Cuál es el ID de evento de Sysmon para el evento de creación de archivos relacionado?

11
¿Puedes encontrar el hash MD5 del ransomware?

290c7dfb01e50cea9e19da81a781af2c
¿Qué archivo se guardó en varias ubicaciones de carpetas?

Léame.txt
¿Cuál fue el comando que utilizó el atacante para agregar un nuevo usuario al sistema comprometido?

usuario neto / agregar seguridad ninja hardToHack123$
El atacante migró el proceso para lograr una mayor persistencia. ¿Cuál es la imagen del proceso migrado (ejecutable) y cuál es la imagen del proceso original (ejecutable) cuando el atacante ingresó al sistema?

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe,C:\Windows\System32\wbem\unsecapp.exe
El atacante también recuperó los hashes del sistema. ¿Cuál es la imagen de proceso utilizada para obtener los hashes del sistema?

C:\Windows\System32\lsass.exe
¿Cuál es el shell web que el exploit implementó en el sistema?

i3gfPctK1c2x.aspx
¿Cuál es la línea de comando que ejecutó este shell web?

attrib.exe -r \\win-aoqkg2as2q7.bellybear.local\C$\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\i3gfPctK1c2x.aspx
¿Qué tres CVE aprovechó este exploit?

CVE-2020-0796,CVE-2018-13374,CVE-2018-13379

Tutorial en vídeo

 
, , , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos