Servidores Exchange usados para el minado de criptomonedas mediante la explotación de la vulnerabilidad ProxyLogon

tomonedas.

Tras el comunicado de Microsoft sobre una grave vulnerabilidad presente en su producto Exchange, el equipo de Sophos ha podido detectar numerosos ataques a servidores Exchange con una variedad de exploits y malware, desde simples webshells a muestras de ransomware. En su estudio, el equipo de SophosLabs ha podido observar a un atacante desconocido que ha estado intentando aprovechar lo que se conoce como ProxyLogon, un exploit que le ha permitido instalar un minero de Monero en el servidor.

El ataque comienza con un comando en PowerShell que obtiene el fichero ‘win_r.zip’ desde otro servidor comprometido (a través del path ‘/owa/auth’ del acceso web de Outlook).

El .zip es en realidad un script BAT que invoca al ejecutable ‘certutil.exe’ incluido en Windows por defecto, para descargar otros dos ficheros adicionales: win_s.zip y win_d.zip. Ninguno de los cuales son realmente ficheros ZIP.

El primer fichero es escrito al sistema como ‘QuickCPU.b64’. Es el payload codificado en base64 de una manera especial: incluyendo al principio y al final las cabeceras típicas de un certificado digital

De esta manera el payload puede ser descifrado usando la utilidad ‘certutil.exe’:

certutil.exe -decode QuickCPU.b64 QuickCPU.exe

Una vez descifrado y ejecutado, se extrae el minero y su configuración y se inyecta en los procesos del sistema, eliminando posteriormente el resto de evidencias. Para ello, el ejecutable contiene una versión modificada de una herramienta llamada ‘PEx64-Injector‘, disponible en Github. Esta utilidad permite migrar cualquier ejecutable x64 a un proceso x64, sin privilegios de administrador.

El binario que se ejecuta está además marcado como «componente de Windows» y, aunque no está firmado puede valer para pasar desapercibido al ojo inexperto, ya que comparte nombre con otra utilidad legítima del sistema.

El minero instalado es el programa ‘xmr-stak’ y se configura para asegurar la conexión entre el minero y la cartera de Monero mediante conexión cifrada TLS.

Por otro lado, el fichero de configuración ‘pools.txt’ del minero, contiene información interesante sobre el atacante: la dirección de su cartera, su contraseña y el nombre que el atacante ha configurado para dicho minero.

De acuerdo con la blockchain de Monero, la cartera empezó a recibir fracciones de la moneda a partir del 9 de marzo (coincidiendo con el Patch Tuesday de Microsoft). Desde entonces, a medida que los administradores de sistemas han ido parcheando, el atacante ha perdido muchos de los servidores. Pero como se puede comprobar el la gráfica mostrada a continuación, ha recuperado con creces su número, obteniendo velocidades de minado de 1 Mh/s.

 

 

 

 

to en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies