Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Передача MOVEit используется для удаления файла
Алекс Деламотт и Джеймс Хохом
SentinelOne обнаружила факт эксплуатации (ITW) CVE-2023-34362, уязвимости в приложении сервера передачи файлов MOVEit. Атака предоставляет полезную нагрузку Microsoft IIS .aspx, которая обеспечивает ограниченное взаимодействие между затронутым веб-сервером и подключенным хранилищем BLOB-объектов Azure. 5 июня группа вымогателей Cl0p взяла на себя ответственность за эти атаки, хотя SentinelOne отмечает, что атака на уязвимость приложения для передачи файлов напоминает другие эксплуатации, проводимые финансово мотивированными субъектами в начале 2023 года.
В этом посте мы приводим технические подробности цепочки атак, а также охотничьи запросы и сценарий PowerShell, который можно использовать для сканирования на предмет потенциального использования уязвимости MOVEit Transfer.
В течение последней недели мая и начала июня 2023 года SentinelOne наблюдала активную эксплуатацию серверов Windows, на которых работает уязвимая версия файлового серверного приложения MOVEit Transfer компании Progress Software. Атака предоставляет минимальную веб-оболочку, которую злоумышленник может использовать для кражи содержимого файлов, включая файлы, размещенные в Microsoft Azure, если целевой экземпляр MOVEit настроен на использование службы хранилища BLOB-объектов Azure. По состоянию на 5 июня ответственность за эти кампании взяла на себя группа вымогателей Cl0p.
Хотя эксплуатация, скорее всего, носит оппортунистический характер, SentinelOne зафиксировала атаки на более чем 20 организаций в следующих секторах, причем чаще всего пострадали поставщики управляемых услуг безопасности (MSSP) и управляемые поставщики услуг информационных технологий (MSP):
Уязвимость затрагивает следующие версии MOVEit Transfer:
Эти атаки проводятся против серверов Windows, на которых работает уязвимая версия приложения для передачи файлов MOVEit, которую злоумышленники могут идентифицировать с помощью сканирования портов или служб интернет-индексации, таких как Shodan.
Progress Software недавно опубликовала рекомендацию с подробным описанием уязвимости в MOVEit Transfer, которая может сделать возможным повышение привилегий и несанкционированный доступ к целевой среде. В рекомендациях проблема подробно описана как уязвимость SQL-инъекции, обозначенная как CVE-2023-34362, которая может позволить несанкционированному злоумышленнику внедрить команды SQL и получить информацию из целевой базы данных.
Цепочка атак использует эту уязвимость для загрузки произвольного файла через учетную запись службы moveitsvc в каталог \MOVEitTransfer\wwwroot\ на сервере. Системный процесс svchost.exe запускает w3wp.exe, рабочий процесс Microsoft Internet Information Service (IIS), который затем записывает несколько файлов в новый рабочий каталог в Temp. Рабочий каталог и последующие файлы имеют один и тот же 8-значный псевдослучайный синтаксис именования, причем в одном примере записаны следующие файлы:
Процесс w3wp.exe запускает csc.exe для компиляции кода C# в полезную нагрузку, которая сохраняется как human2.aspx. Полезная нагрузка представляет собой минимальную веб-оболочку, которая запрашивает информацию о конфигурации базы данных, позволяя актеру:
Чтобы извлечь файлы, злоумышленник может указать идентификатор файла и идентификатор папки целевого объекта в заголовках HTTP запроса, отправленного к веб-шеллу. Затем оболочка возвращает содержимое указанного файла в виде объекта Gzip в ответе HTTP сервера. Оболочка также удаляет существующего пользователя с именем «Служба проверки работоспособности» и создает нового пользователя с тем же именем пользователя, вероятно, в целях сохранения.
На момент написания SentinelOne не наблюдал последующей активности после размещения веб-оболочки.
Организациям, использующим MOVEit Transfer, следует немедленно обновить затронутые системы. В ситуациях, когда обновление невозможно выполнить, систему следует отключить от сети до тех пор, пока она не будет обновлена. Убедитесь, что ваша группа безопасности имеет доступ и анализ журналов приложений с серверов, на которых работает MOVEit Transfer, включая журналы Microsoft IIS.
Поскольку эксплуатация происходит посредством взаимодействия с MOVEit Transfer на уровне приложения, возможности обнаружения для инструмента Endpoint Detection & Response (EDR) ограничиваются действиями на более поздней стадии. SentinelOne отмечает, что каждая полезная нагрузка динамически компилируется во время выполнения, в результате чего для каждой жертвы создается уникальный хэш. Хотя мы предоставляем список хэшей, связанных с полезными данными, доставленными в ходе этих кампаний, организациям не следует полагаться только на хэши для обнаружения этих атак.