微软的MSERT工具现在可以从Exchange Server攻击中找到Web Shell

作者
微软后卫

Microsoft已为其Microsoft安全扫描程序(MSERT)工具推出了一个新更新,以检测最近的Exchange Server攻击中部署的Web Shell。

3月2日,Microsoft披露,针对暴露在Web上的Outlook(OWA)服务器的攻击使用了四个Exchange Server零日漏洞 。这些漏洞被跟踪为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065。

这些漏洞被称为“ ProxyLogon”,中国政府赞助的威胁参与者正在使用这些漏洞窃取邮箱,收集凭据以及部署Web Shell来访问内部网络。

当Microsoft披露这些攻击时,他们已经发布了Microsoft Defender的更新签名,这些签名将检测使用零时差漏洞安装的Web Shell。

Microsoft Defender使用以下名称检测到这些Web Shell:

  • 漏洞利用:Script / Exmann.A!dha
  • 行为:Win32 / Exmann.A
  • 后门:ASP / SecChecker.A
  • 后门:JS / Webshel​​l  (并非这些攻击所独有)
  • Trojan:JS / Chopper!dha  (并非这些攻击所独有)
  • 行为:Win32 / DumpLsass.A!attk  (不是这些攻击所独有的)
  • 后门:HTML / TwoFaceVar.B  (并非这些攻击所独有)

对于不使用Microsoft Defender的组织,Microsoft已将更新的签名添加到其Microsoft安全扫描器独立工具中,以帮助组织查找和删除在这些攻击中使用的Web Shell。

使用Microsoft安全扫描程序删除Web Shell

Microsoft安全扫描程序,也称为Microsoft支持紧急响应工具(MSERT),是一个独立的便携式反恶意软件工具,其中包括用于扫描和删除检测到的恶意软件的Microsoft Defender签名。

MSERT是按需扫描程序,不会提供任何实时保护。因此,它仅应用于点扫描,而不应作为完整的防病毒程序使用。

此外,MSERT将自动删除任何检测到的文件,而不隔离它们。如果您需要保存检测到的文件,请不要使用MSERT,而应使用本文末尾所述的PowerShell脚本。

可以将Microsoft安全扫描程序下载为32位64位可执行文件,并根据需要用于对计算机执行点扫描。 

启动该程序后,同意许可协议,然后将显示一个屏幕,询问您要执行哪种扫描类型。

Microsoft建议您选择“完全扫描”选项来扫描整个服务器。

选择完整的MSERT扫描
选择完整的MSERT扫描

由于完全扫描可能需要很长时间,具体取决于安装大小,因此Microsoft还声明您可以对以下每个文件夹执行“自定义扫描”:

  • %IIS安装路径%\ aspnet_client \ *
  • %IIS安装路径%\ aspnet_client \ system_web \ *
  • %Exchange Server安装路径%\ FrontEnd \ HttpProxy \ owa \ auth \ *
  • 配置的临时ASP.NET文件路径
  • %Exchange服务器安装%\ FrontEnd \ HttpProxy \ ecp \ auth \ *

扫描完成后,MSERT将报告已删除哪些文件及其定义名称。

Microsoft Safety Scanner扫描结果
Microsoft Safety Scanner扫描结果

有关删除哪些文件的更多详细信息,可以查询 %SYSTEMROOT%\ debug \ msert.log 文件,如下所示。

后门:MSERT检测到ASP / Chopper.F!dha Web Shell
后门:MSERT检测到ASP / Chopper.F!dha Web Shell

使用MSERT完成后,只需删除msert.exe可执行文件即可卸载该工具。

新的PowerShell脚本查找Web Shell

如果您想扫描网页弹不删除它们,可以使用新的PowerShell脚本命名detect_webshel​​ls.ps1 由CERT拉脱维亚创建。

“ 2021年1月的初始活动归因于HAFNIUM,但是从那时起,其他威胁行为者就掌握了这些漏洞并开始使用它们。在Microsoft公开披露信息和补丁程序(自2月27日左右)之前,公开暴露的Exchange服务器就开始了不加选择地被剥削。”

CERT-LV在其项目描述中解释说:“因此,在Microsoft发布更新后立即安装最新的Exchange更新 并不能完全减轻先前受到损害的风险,因此应检查所有Exchange服务器是否存在未经授权的访问的迹象,” CERT-LV解释说。

该脚本将在ProxyLogon攻击中显示包含Web外壳程序使用的特定字符串的文件,而不显示Microsoft Exchange。该脚本的优点是它不会删除文件,而使事件响应者可以对其进行进一步分析。

用于查找Web Shell的detect_webshel​​ls.ps1
用于查找Web Shell的detect_webshel​​ls.ps1

有关如何使用此脚本的更多信息,请参见CERT-LV项目的GitHub存储库

Microsoft还发布了一个名为Test-ProxyLogon.ps1的PowerShell脚本,该脚本可用于在Exchange和OWA日志文件中搜索与这些攻击相关的危害指标(IOC)

*编译:Domino

*来自:bleepingcomputer