Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe

Publiziert am 6. November 2021 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Cisco Talos sind darauf gestoßen, dass die Babuk-Ransomware-Gang die ProxyShell-Schwachstelle in Microsoft Exchange verwendet, um eine Web-Shell mit dem Namen "China Chopper" zu installieren. Ein Babuk-Ransomware-Partner namens "Tortilla" ist wohl im Oktober zu der Gruppe gestoßen und stellt diese Web-Shell bereit. Die ProxyShell-Schwachstelle lässt sich längst durch Updates auf on-premises Microsoft Exchange Servern schließen.

Anzeige

Ich bin über nachfolgenden Tweet von Bleeping Computer auf diese Bedrohung aufmerksam geworden. Cisco Talos beschreibt den Sachverhalt im Blog-Beitrag Microsoft Exchange vulnerabilities exploited once again for ransomware, this time with Babuk. Eine Zusammenfassung gibt es bei Bleeping Computer.

Babuk Ransomware-Kampagne im Oktober

Am 12. Oktober 2021 stießen die Sicherheitsforscher von Cisco Talos über die Telemetriedaten ihrer Sicherheitslösungen auf eine Kampagne, die auf anfällige Microsoft Exchange-Server abzielt. Dabei wird versucht, die ProxyShell-Schwachstelle auszunutzen, um die Babuk-Ransomware auf den Exchange Servern der Opfers einzusetzen.

Die Kampagne, die Varianten der Babuk-Ransomware einsetzt, betrifft vor allem Nutzer in den USA. Es gibt aber auch eine kleinere Anzahl von Infektionen in Großbritannien, Deutschland, der Ukraine, Finnland, Brasilien, Honduras und Thailand.

Der Akteur der Kampagne wird, basierend auf den Namen der in der Kampagne verwendeten Nutzlastdateien, von Cisco Talos als Tortilla bezeichnet. Es handelt sich um einen neuen Akteur, der seit Juli 2021 aktiv ist. Vor dieser Ransomware-Kampagne hat Tortilla mit anderen Nutzdaten, z. B. mit dem PowerShell-basierten netcat-Klon Powercat, experimentiert, Damit wir Angreifern bekanntermaßen unbefugten Zugriff auf Windows-Rechner ermöglicht.

Die Sicherheitsforscher sind sich halbwegs sicher, dass der anfängliche Infektionsvektor die Ausnutzung von ProxyShell-Schwachstellen in Microsoft Exchange Server durch den Einsatz der China Chopper Web Shell ist, heißt es im betreffenden Blog-Beitrag.

Die Babuk-Infektionskette

Der Bedrohungsakteur verwendet eine etwas ungewöhnliche Technik der Infektionskette, bei der ein zwischengeschaltetes Entpackungsmodul auf einem pastebin.com-Klon pastebin.pl gehostet wird. Die Zwischenstufe des Entpackens wird heruntergeladen und im Speicher entschlüsselt, bevor die endgültige Nutzlast, die in das ursprüngliche Sample eingebettet ist, entschlüsselt und ausgeführt wird.

  • Die Infektion beginnt in der Regel mit einem Downloader-Modul (.exe oder .dll) auf dem Server des Opfers. Der DLL-Downloader wird vom übergeordneten Exchange IIS-Arbeitsprozess w3wp.exe ausgeführt.
  • Der ursprüngliche Downloader ist ein modifizierter EfsPotato-Exploit, der auf die Sicherheitslücken proxyshell und PetitPotam abzielt. Der Downloader führt einen eingebetteten, verschleierten PowerShell-Befehl aus, um eine Verbindung herzustellen und ein gepacktes Downloader-Modul aus der Infrastruktur des Akteurs herunterzuladen.
  • Der PowerShell-Befehl führt auch eine AMSI-Umgehung aus, um den Endpunktschutz zu umgehen. Der Download-Server wird über die bösartigen Domänen fbi[.]fund und xxxs[.]info gehostet.
  • Das anfänglich gepackte Lademodul enthält verschlüsselte .NET-Ressourcen als Bitmap-Bilder. Der entschlüsselte Inhalt ist die eigentliche Babuk-Ransomware-Nutzlast.
  • Um die Nutzlast zu entschlüsseln und zu entpacken, stellt der Lader eine Verbindung zu einer URL auf pastebin.pl her, die das Zwischenmodul zum Entpacken enthält.
  • Das Entpacker-Modul entschlüsselt die eingebettete Babuk-Ransomware-Nutzlast im Speicher und injiziert sie in einen neu erstellten Prozess AddInProcess32.

Das Babuk-Ransomware-Modul, das innerhalb des Prozesses AddInProcess32 ausgeführt wird, zählt die auf dem Server des Opfers laufenden Prozesse auf und versucht, eine Reihe von Prozessen zu deaktivieren, die mit Backup-Produkten wie dem Veeam-Backup-Service zusammenhängen. Es löscht auch Volume Shadow Service (VSS)-Snapshots vom Server mithilfe des Dienstprogramms vssadmin, um sicherzustellen, dass die verschlüsselten Dateien nicht aus ihren VSS-Kopien wiederhergestellt werden können.

Anzeige

Das Ransomware-Modul verschlüsselt die Dateien auf dem Server des Opfers und hängt eine Dateierweiterung .babyk an die verschlüsselten Dateien an. Der Akteur verlangt von den Opfern die Zahlung von 10.000 US-Dollar, um den Entschlüsselungsschlüssel zu erhalten, mit dem sie ihre Dateien wiederherstellen können. Weitere Details lassen sich im Beitrag Microsoft Exchange vulnerabilities exploited once again for ransomware, this time with Babuk nachlesen.

Die ProxyShell-Schwachstelle schließen

Zum Sachverhalt bleibt anzumerken, dass die ProxyShell-Schwachstelle längst durch Microsoft Updates geschlossen wurde. Und die Ungreifbarkeit ungepatchter Exchange Server ist auch bekannt. Denn der taiwanesische Sicherheitsforscher Orange Tsai vom DEVCORE-Team hat Anfang Augst auf der BlackHat 2021 einen Vortrag über Exchange-Schwachstellen gehalten. Dabei zeigte er, wie durch Kombination alter Schwachstellen (z.B. CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207), die im April 2021 durch Updates geschlossen wurden, Microsoft Exchange-Server über ProxyLogon, ProxyOracle und ProxyShell genannte Exploits angegriffen und übernommen werden können.

Ich hatte im Blog-Beitrag Exchange-Schwachstellen: Droht Hafnium II? über diesen Sachverhalt berichtet. Die Empfehlung lautete, die On-Premises Exchange-Server auf den aktuellen Patchstand zu bringen und dafür zu sorgen, dass diese nicht per Internet erreichbar sind (siehe auch Exchange Server: Neues zu den ProxyShell-Schwachstellen). Bereits im Blog-Beitrag Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021) hatte ich dann auf beginnende Angriffe hingewiesen. In einer Angriffswelle wurden fast 2.000 Server gehackt (siehe Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt). Wer also seine Exchange Server immer noch nicht auf dem aktuellen Patchstand hat, braucht sich über eine Ransomware-Infektion nicht zu wundern – auch andere Ransomware-Gangs nutzen die ProxyShell-Schwachstelle für Angriffe.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server Security Update KB5001779 (13. April 2021)
Exchange-Schwachstellen: Droht Hafnium II?
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)
Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt
ProxyShell, ProxyLogon und Microsofts Exchange-Doku für Ausnahmen vom Virenschutz
Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe

  1. Boris Schmid sagt:
    6. November 2021 um 06:36 Uhr

    Die Anzahl ungepatchter Systeme ist nach wie vor unbegreiflich hoch. Dein Fazit ist goldrichtig. Die Verantwortlichen handeln mindestens grob fahrlässig.

    Antworten
  2. Singlethreaded sagt:
    6. November 2021 um 08:14 Uhr

    Ich habe mir auf der Arbeit mal den Spaß gemacht mir die Header empfangener Mails mal genauer anzusehen. Exchange Server sind da häufig recht auskunftsfreudig.

    In dem Headern tauchen häufig die Versionsnummern der beteiligten Exchange Server auf. Zum Beispiel:

    "recieved with mapi id 15.01.2375.012; Fri, 5 Nov 2021 11:52:18 +0100"

    Das oben ist dann ein Exchange Server 2016 auf CU22 und dem letzten SU. Ich war aber echt geschockt, wie viele Kunden / Lieferanten noch auf alten Exchange Servern unterwegs sind.

    Selbst bei mir privat liefert die Sparkasse ihre Mails über einen nicht aktuellen Exchange Server aus dem Backend an. Die Einschätzung, dass viele Leute nicht patchen kann ich nur bestätigen.

    Gruß Singlethreaded

    Antworten

Schreibe einen Kommentar zu Boris Schmid Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.