IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Exchange

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

افشای ارتباط گروه تحت حمایت دولت و باج افزار Hades با حملات اخیر مایکروسافت Exchange

 

کارشناسان امنیتی، باج افزار Hades و گروه تحت حمایت دولت با نام Hafnium را که در پشت پرده حملات اولیه به سرورهای Microsoft Exchange بوده است، با یکدیگر مرتبط دانسته اند.

پرسنل این باج افزار همچنین مسئول حملات به یکی از بزرگان صنعت حمل بار با نام فوروارد ایر و تعداد انگشت شمار دیگری از شرکت ها بوده اند. این مسئله مرتبط با گروه عملیاتی روسی بدنام فعال در زمینه جرایم سایبری با نام اویل کورپ (Indrik Spider) بوده است که به شکل گونه جدیدی از باج افزار WasterdLocker خود، که برای کمک به گروه های دور زننده تحریم هایی که موجب دلسردی و انصراف قربانیان از پرداخت هزینه ها می شود، طراحی شده است.

با این حال ، گزارش جدیدی از اویک سکیوریتی، ادعا می کند دامنه ای را برای command-and-control در حمله Hades در ماه دسامبر سال 2020، درست قبل از کشف حملات سرور Zero-day Exchange پیدا کرده است.

جیسون بویس، معاون اویک سکیوریتی، توضیح داد: "تیم ما پس از به خطر افتادن و رمزگذاری جهت بررسی وضعیت حادث شده، ورود کردند و در این مورد خاص، دامنه هافنیوم به عنوان عامل ایجاد خطر در طی حمله Hades شناسایی شد".

وی افزود: "علاوه بر این ، این دامنه با یک سرور Exchange مرتبط بود و در روزهای منتهی به حادثه رمزگذاری برای command-and-control استفاده می شده است".

وی همچنین ادعا کرد که در کل دو احتمال وجود دارد: یک عامل تهدید کننده بسیار حرفه ای، در پوشش Hades در در این کار دست دارد و یا اینکه چند گروه مستقل به دلیل ضعف امنیتی، به طور تصادفی از همان محیط استفاده می کنند.

یافته های دیگر Hades را به عنوان یک گروه باج افزار غیرمعمول معرفی و مشخص می کند. تعداد بسیار کمی از قربانیان شناسایی شده اند و بیشتر به نظر می رسد از بخشهای صنایع تولیدی باشند.

بویس همچنین به "پیچیدگی بسیار کمی" در سایت های نشت راه اندازی شده توسط این گروه اشاره کرد، شامل حساب توییتر خود، صفحه ای در هک‌فرومز و صفحات پیج‌بین و هیست‌بین که متعاقبا حذف شده اند.

وی افزود: "همانطور که متخصصین این دست حوادث می دانند، برای عاملین و گردانندگان باج افزار بسیار معمول است که سایت هایی را برای نشت داده های خود ایجاد کنند، اما آنچه در مورد Hades جالب بود این است که آنها از روش هایی برای نشت و سایت های خود استفاده کردند که معمولا در مدت زمان بسیار کوتاهی از دسترس خارج شده اند".

"ما می دانیم که عامل حملات مبلغی در حدود 5 تا 10 میلیون دلار به عنوان باج درخواست کرده و جالب اینکه در پاسخ‌دهی به افراد، بسیار کند عمل میکند. در بعضی موارد، ممکن است اصلاً پاسخی نداده باشند. در موردی نیز، یکی از کاربران توییتر حتی اعلام کرده است "TA هرگز پاسخ نمی دهد". اگر فقط چند سازمان مورد حمله قرار گرفته بودند، چرا باید پاسخگویی به درخواست های باج برای این همه مدت طولانی زمان ببرد؟ آیا انگیزه بالقوه دیگری در این حمله وجود داشته است؟ چرا از آن زمان تا کنون خبری از Hades نبوده است؟".

بویس همچنین خاطر نشان کرد که داده های فاش شده در سایت ها بسیار کمتر از اطلاعاتی است که در اصل گروه به سرقت برده است، که مربوط به مراحل دقیق و جزئیات تولید است.

این گزارش همچنین به بازماندگان فعالیتهایی در گروه باج افزاری TimosaraHackerTerm (THT) در برخی از محیط های کاربری قربانیان Hades، چند هفته قبل از سری حملات ثانویه اشاره داشت. این موارد شامل استفاده از Bitlocker یا BestCrypt برای رمزگذاری، اتصال به آدرس IP کشور رومانی و استفاده از VSS Admin برای پاکسازی نسخه های shadow copy در دستگاه اصلی است.

دستورالعمل اضطراری CISA جهت کاهش آسیب پذیری Microsoft Exchange

 

پیش زمینه:

شرکای CISA مواردی از سوءاستفاده و آسیب پذیری های فعال را در محصولات داخلی مایکروسافت Exchange مشاهده کرده اند. در حال حاضر احتمال آسیب پذیری و سوءاستفاده احتمالی از این نقص ها بر روی مایکروسافت 365 و یا Azure Cloud مشخص نشده است. سوءاستفاده احتمالی موفق از این آسیب پذیری ها، به مهاجم این امکان را میدهد تا به سرورهای داخلی Exchange دسترسی پیدا کرده و برای وی امکان دسترسی مداوم سیستم و کنترل شبکه سازمانی را فراهم میکند.

CISA اعلام کرده است که این سوءاستفاده از محصولات داخلی مایکروسافت Exchange خطری غیرقابل قبول برای agent های اجرایی فدرال دارد و باید در اسرع وقت این مشکل مرتفع شود. این اعلام نظر بر مبنای احتمال سوءاستفاده فعلی از این آسیب پذیری ها در بدترین حالت خود است که به طبع آن، سوءاستفاده از این آسیب پذیری ها، نشر نرم افزار آسیب دیده در شرکت های فدرال، پتانسیل بالای بروز آسیب در سیستمهای اطلاعاتی agent در معرض خطر و تاثیر بالقوه ایجاد خطر موفقیت آمیز را در پی دارد.

در حال حاضر آسیب پذیری های مربوط به این آسیب پذیری شناسایی شده، شامل CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 است.

طبق گفته های مایکروسافت و محققین امنیتی، آسیب پذیری های زیر نیز شناسایی شده اند که مشخص نیست هنوز قابل بهره برداری باشند: CVE-2021-26412, CVE-2021-26854, CVE-2021-27078.

اقدامات مورد نیاز

  1. پس از شناسایی همه موارد مورد نظر در محیط سرورهای داخلی مایکروسافت Exchange، agent ی که دارای تخصص کافی هستند باید با استفاده از ابزار جمع آوری اطلاعات را به صورت قانونی تهیه کنند (مانند هشدار امنیتی CISA) برای جمع آوری اطلاعات حافظه سیستم، لاگ های مربوط به وبِ سیستم، لاگ های رویداد های ویندوز و تمام جزئیات رجیستری. سپس agent باید اطلاعات جمع آوری شده را از نظر نشانه هایی مبنی بر نفوذ یا موارد مشکوک، مانند تخلیه اعتبارنامه ها و سایر فعالیت هایی که در قسمت هشدار فعالیت، شرح داده شده اند را بررسی کنند. اگر رفتار مشکوک یا نشانه ای از بروز خطر مشاهده شد، به مورد 2 مراجعه کنید.

اگر هیچ نشانه ای از به خطر افتادگی یافت نشد، agent باید بلافاصله بروزرسانی های مایکروسافت را برای سرورهای مایکروسافت Exchange اعمال کرده و سپس به گزینه 5 بروند.

اگر agent از تخصص کافی در زمینه اعمال موارد قانونی ذکر شده در سیستم های خود را ندارند، باید به گزینه 3 رجوع کنند.

  1. agent هایی که تخصص لازم را دارند، بلادرنگ، قبل از انجام گزینه 3، اقدامات زیر را انجام دهند. agent ها باید اطلاعات جمع آوری شده در این مرحله را در راستای شناسایی نشانه هایی از تغییرات و نفوذ یا رفتار مشکوک، مانند تخلیه اعتبار نامه ها، حرکات غیرطبیعی و متفرقه، persistence mechanisms و هرگونه سوءاستفاده احتمالی بررسی کنند.
    1. به بصورت صحیح از حافظه سیستم یک نسخه پشتیبان تهیه کنید یا برای virtual host، یک نسخه حافظه مجازی (VMEM) را در حافظه خارجی برای بررسی، تهیه و ذخیره کنید.
    2. اگر امکان تهیه نسخه پشتیبان فراهم بود، طبق فرایند agent عمل کرده تا نسخه لایو پشتیبان را ایجاد نمایید.
    3. اگر نمیتوان نسخه پشتیبان لایو را تهیه کرد، همه سیستم ها (سیستم های مجازی) که نسخه تحت وب Outlook (به طور کلی Outlook Web Access/App یا OWA و یا صفحه کنترل Exchange یا ECP را اجرا میکنند، متوقف نمایید.
    4. برای جستجوی IOCهای موجود در قسمت هشدار فعالیت های CISA، اقدام به بررسی و آنالیز نسخه پشتیبان تهیه شده، کنید.
    5. ترافیک شبکه و داده های بزرگ ذخیره شده را در راستای پیدا کردن نشانه های بروز مخاطرات و یا اتصالات مشکوک که در قسمت هشدار فعالیت CISA ارائه شده است را بررسی و آنالیز نمایید.
    6. شبکه و سیستم ها را برای یافتن نشانه های اضافی مبنی بر نفوذ و تغییرات که ارائه شده اند، با دقت بررسی کنید.
  2. agent ی که نشانه های نفوذ و سازش را در گزینه 1 شناسایی کرده اند یا تخصص لازم برای انجام گزینه های 1 و یا 2 را ندارند، باید این مراحل را انجام داده و سپس به گزینه 4 بروند:
    1. سرورهای مایکروسافت Exchange را فوراٌ قطع کنید.
    2. تا زمانی که CISA این سازمان ها را به بازسازی سیستم عامل سرور مایکروسافت Exchange و نصب مجدد بسته نرم افزاری هدایت میکند، نمایندگی ها از پیوستن مجدد به دامنه سازمانی سرور مایکروسافت Exchange منع شده اند.
    3. شناسایی و حذف تمام حساب های مخرب actor-controlled و شناسایی persistence mechanisms.
    4. نهادهایی درگیر این آسیب پذیری، باید قبل از بازسازی سیستم ها از منابع معتبر با استفاده از آخرین نسخه محصول موجود، با CISA ارتباط برقرار کرده و راهنمایی های لازم را دریافت کنند.
  3. وجود هر یک از موارد زیر را به عنوان یک مشکل و حادثه بلادرنگ به CISA گزارش دهید:
    1. شناسایی شاخص های نشان دهنده بروز خطر، همانطور که در قسمت هشدار فعالیت CISA ذکر شده است.
    2. وجود کد web shell در سرور داخلی مایکروسافت Exchange که در معرض خطر است.
    3. دسترسی یا استفاده غیرمجاز از حساب ها.
    4. وجود شواهدی مبنی بر حرکات متفرقه توسط مهاجمین با دسترسی به سیستم های در معرض خطر و آسیب.
    5. سایر شاخص های دسترسی یا unauthorized compromise.
    6. سایر شاخص های مرتبط به این موضوع که توسط CISA اعلام شده است.
  4. همه agent ها باید گزارش خود را با استفاده از الگوی ارائه شده تا ظهر به وقت استاندارد شرقی در ظهر جمعه پنجم مارس 2021 گزارش دهند. مدیران ارشد اطلاعات (CIO) در سطح دپارتمان یا معادل آن باید این گزارش را که گواهی وضعیت agent است، به CISA گزارش دهند.

این اقدامات ضروری در مورد agent ی که از سرورهای مایکروسافت Exchange در هر سیستم اطلاعاتی استفاده میکنند، شامل یک سیستم اطلاعاتی که توسط یک نهاد دیگر به نمایندگی از یک agency استفاده یا اداره میشود، اعمال میشود که اطلاعات agent را جمع آوری، پردازش، ذخیره، انتقال، انتشار یا در غیر اینصورت حفظ میکند.

اقداماتCISA

CISA به کار با شرکای خود برای نظارت بر هرگونه سوءاستفاده ممکن و مرتبط با این آسیب پذیری ادامه خواهد داد.

CISA با در دسترس قرار گرفتن شاخص های اضافی بر مبنای بروز خطر و آسیب، آزاد خواهد شد.

CISA برای مطابقت با این بخشنامه، به agent فاقد توانایی داخلی، کمک فنی خواهد کرد.

CISA از طریق وب سایت CISA، و به وسیله ارتباط هماهنگ با بخشنامه اضطراری و از طریق مشارکت های فردی در صورت درخواست و همچنین راهنمایی بیشتری را به agent ارائه میدهد.

تا 5 آپریل 2021، CISA گزارشی را به وزیر امنیت داخلی و مدیر دفتر مدیریت و بودجه یا OMB ارائه میدهد که وضعیت بین agent و مسائل مهم این آسیب پذیری را مشخص می نماید.

مدت زمان

این دستورالعمل اضطراری تا زمانی که همه agent های عامل سرورهای مایکروسافت Exchange از بسته بروزرسانی موجود استفاده نکنند یا تا زمانی که بخشنامه با اقدامات مناسب دیگر خاتمه یابد، همچنان در حال اجرا خواهد بود.