In questo post abbiamo analizzato il ransomware Conti che ha colpito Microsoft Exchange attraverso una serie di vulnerabilità. Abbiamo utilizzato materiale di laboratorio da ProvaHackMe Conti room.

Il server Microsoft Exchange era vulnerabile a CVE-2020-0796, CVE-2018-13374 e CVE-2018-13379 che lo rendevano aperto ad altri tipi di attacchi come quello discusso in questo post, l'attacco Conti Ransomware a Microsoft Exchange.

Il ransomware è stato distribuito sfruttando le vulnerabilità sopra menzionate e ottenendo una reverse shell tramite Powershell. Gli aggressori sono poi migrati su altri processi per stabilire la persistenza e hanno caricato una webshell attraverso la quale hanno potuto scaricare il ransomware Conti e crittografare i file sulle workstation.

Puoi controllare un post completo e dettagliato Qui

Ottieni note sul campo Splunk

Risposte alle attività

Riesci a identificare la posizione del ransomware?
C:\Utenti\Amministratore\Documenti\cmd.exe
Qual è l'ID evento Sysmon per l'evento di creazione del file correlato?

11
Riesci a trovare l'hash MD5 del ransomware?

290c7dfb01e50cea9e19da81a781af2c
Quale file è stato salvato in più posizioni di cartelle?

leggimi.txt
Qual è stato il comando utilizzato dall'aggressore per aggiungere un nuovo utente al sistema compromesso?

net utente /add securityninja hardToHack123$
L'aggressore ha migrato il processo per una migliore persistenza. Qual è l'immagine del processo migrato (eseguibile) e qual è l'immagine del processo originale (eseguibile) quando l'autore dell'attacco è entrato nel sistema?

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe,C:\Windows\System32\wbem\unsecapp.exe
L'aggressore ha anche recuperato gli hash di sistema. Qual è l'immagine del processo utilizzata per ottenere gli hash di sistema?

C:\Windows\System32\lsass.exe
Qual è la web shell distribuita dall'exploit nel sistema?

i3gfPctK1c2x.aspx
Qual è la riga di comando che ha eseguito questa web shell?

attrib.exe -r \\win-aoqkg2as2q7.bellybear.local\C$\Programmi\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\i3gfPctK1c2x.aspx
Quali tre CVE ha sfruttato questo exploit?

CVE-2020-0796,CVE-2018-13374,CVE-2018-13379

Video walk-through

 
, , , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli