Dans cet article, nous avons enquêté sur le ransomware Conti qui a frappé Microsoft Exchange via une série de vulnérabilités. Nous avons utilisé du matériel de laboratoire provenant de Salle TryHackMe Conti.

Le serveur Microsoft Exchange était vulnérable aux CVE-2020-0796, CVE-2018-13374 et CVE-2018-13379, ce qui le rendait ouvert à d'autres types d'attaques telles que celle évoquée dans cet article, l'attaque Conti Ransomware sur Microsoft Exchange.

Le ransomware a été délivré en exploitant les vulnérabilités mentionnées ci-dessus et en obtenant un shell inversé via Powershell. Les attaquants ont ensuite migré vers d'autres processus pour établir la persistance et ont téléchargé un webshell grâce auquel ils ont pu télécharger le ransomware Conti et crypter des fichiers sur les postes de travail.

Vous pouvez consulter un article détaillé complet ici

Obtenez des notes de terrain Splunk

Réponses aux tâches

Pouvez-vous identifier l’emplacement du ransomware ?
C:\Utilisateurs\Administrateur\Documents\cmd.exe
Quel est l'ID d'événement Sysmon pour l'événement de création de fichier associé ?

11
Pouvez-vous trouver le hachage MD5 du ransomware ?

290c7dfb01e50cea9e19da81a781af2c
Quel fichier a été enregistré dans plusieurs emplacements de dossiers ?

lisezmoi.txt
Quelle commande l’attaquant a-t-il utilisée pour ajouter un nouvel utilisateur au système compromis ?

utilisateur net / ajouter la sécuriténinja hardToHack123$
L'attaquant a migré le processus pour une meilleure persistance. Quelle est l’image de processus migrée (exécutable) et quelle est l’image de processus d’origine (exécutable) lorsque l’attaquant a accédé au système ?

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, C:\Windows\System32\wbem\unsecapp.exe
L'attaquant a également récupéré les hachages du système. Quelle est l’image de processus utilisée pour obtenir les hachages du système ?

C:\Windows\System32\lsass.exe
Quel est le shell Web que l'exploit a déployé sur le système ?

i3gfPctK1c2x.aspx
Quelle est la ligne de commande qui a exécuté ce web shell ?

attrib.exe -r \\win-aoqkg2as2q7.bellybear.local\C$\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\i3gfPctK1c2x.aspx
Quels sont les trois CVE que cet exploit a exploité ?

CVE-2020-0796,CVE-2018-13374,CVE-2018-13379

Vidéo pas à pas

 
, , , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles