MOVEit-Übertragung zum Löschen von Dateien ausgenutzt

Von Alex Delamotte und James Haughom

SentinelOne hat eine In-the-Wild-Ausnutzung (ITW) von CVE-2023-34362 beobachtet, einer Schwachstelle in der MOVEit-Dateiübertragungsserveranwendung. Der Angriff liefert eine Microsoft IIS .aspx-Nutzlast, die eine eingeschränkte Interaktion zwischen dem betroffenen Webserver und dem verbundenen Azure-Blobspeicher ermöglicht. Am 5. Juni übernahm die Ransomware-Gruppe Cl0p die Verantwortung für diese Angriffe, obwohl SentinelOne feststellt, dass die gezielte Bekämpfung einer Sicherheitslücke in einer Dateiübertragungsanwendung anderen Ausnutzungen ähnelt, die Anfang 2023 von finanziell motivierten Akteuren durchgeführt wurden.

In diesem Beitrag stellen wir technische Details der Angriffskette sowie Jagdabfragen und ein PowerShell-Skript bereit, mit dem nach einer möglichen Ausnutzung der MOVEit Transfer-Schwachstelle gesucht werden kann.

In der letzten Maiwoche und Anfang Juni 2023 beobachtete SentinelOne eine aktive Ausnutzung von Windows-Servern, auf denen eine anfällige Version der Dateiserveranwendung MOVEit Transfer von Progress Software ausgeführt wurde. Der Angriff stellt eine minimale Webshell bereit, mit der der Angreifer den Inhalt von Dateien herausfiltern kann, einschließlich der in Microsoft Azure gehosteten Dateien, wenn die anvisierte MOVEit-Instanz für die Verwendung des Blob-Speicherdienstes von Azure konfiguriert ist. Am 5. Juni übernahm die Ransomware-Gruppe Cl0p die Verantwortung für diese Kampagnen.

Während die Ausnutzung wahrscheinlich opportunistisch ist, beobachtete SentinelOne Angriffe gegen mehr als 20 Organisationen in den folgenden Sektoren, wobei Managed Security Service Providers (MSSP) und Managed Information Technology Service Providers (MSP) am häufigsten betroffen waren:

Die Sicherheitslücke betrifft die folgenden Versionen von MOVEit Transfer:

Diese Angriffe werden gegen Windows-Server durchgeführt, auf denen eine anfällige Version der MOVEit-Dateiübertragungsanwendung ausgeführt wird, die Angreifer durch Port-Scanning oder Internet-Indexierungsdienste wie Shodan identifizieren können.

Progress Software hat kürzlich eine Empfehlung veröffentlicht, in der eine Schwachstelle in MOVEit Transfer detailliert beschrieben wird, die eine Rechteausweitung und unbefugten Zugriff auf die Zielumgebung ermöglichen könnte. Das Advisory beschreibt das Problem als eine SQL-Injection-Schwachstelle – gemeldet als CVE-2023-34362 – die es einem nicht autorisierten Angreifer ermöglichen kann, SQL-Befehle einzuschleusen und Informationen aus der Zieldatenbank abzurufen.

Die Angriffskette nutzt diese Schwachstelle aus, um einen willkürlichen Datei-Upload über das Dienstkonto „moveitsvc“ in das Verzeichnis „\MOVEitTransfer\wwwroot\“ des Servers durchzuführen. Der svchost.exe-Prozess des Systems startet w3wp.exe, einen Microsoft Internet Information Service (IIS)-Arbeitsprozess, der dann mehrere Dateien in ein neues Arbeitsverzeichnis in Temp schreibt. Das Arbeitsverzeichnis und die nachfolgenden Dateien verwenden dieselbe pseudozufällige Benennungssyntax mit 8 Zeichen. In einem Beispiel werden die folgenden Dateien geschrieben:

Der Prozess w3wp.exe startet csc.exe, um den C#-Code in die Nutzlast zu kompilieren, die als human2.aspx gespeichert wird. Die Nutzlast ist eine minimale Webshell, die Informationen über die Datenbankkonfiguration abfragt und es dem Akteur ermöglicht:

Um Dateien zu exfiltrieren, kann der Angreifer die Datei-ID und Ordner-ID des Zielobjekts in HTTP-Headern einer an die Webshell gerichteten Anfrage angeben. Die Shell gibt dann den Inhalt der angegebenen Datei als Gzip-Objekt in der HTTP-Antwort des Servers zurück. Die Shell löscht außerdem den vorhandenen Benutzer mit dem Namen „Health Check Service“ und erstellt einen neuen Benutzer mit demselben Benutzernamen, wahrscheinlich aus Gründen der Persistenz.

Zum Zeitpunkt des Verfassens dieses Artikels hat SentinelOne keine weiteren Aktivitäten nach der Platzierung der Webshell beobachtet.

Organisationen, die MOVEit Transfer nutzen, sollten betroffene Systeme sofort aktualisieren. In Situationen, in denen Upgrades nicht durchgeführt werden können, sollte das System offline geschaltet werden, bis ein Upgrade durchgeführt werden kann. Stellen Sie sicher, dass Ihr Sicherheitsteam auf Anwendungsprotokolle von Servern zugreifen und diese analysieren kann, auf denen MOVEit Transfer ausgeführt wird, einschließlich Microsoft IIS-Protokollen.

Da die Ausnutzung durch Interaktion mit MOVEit Transfer auf Anwendungsebene erfolgt, sind die Erkennungsmöglichkeiten für Endpoint Detection & Response (EDR)-Tools auf spätere Aktivitäten beschränkt. SentinelOne weist darauf hin, dass jede Nutzlast zur Laufzeit dynamisch kompiliert wird, was zu einem eindeutigen Hash für jedes Opfer führt. Wir stellen zwar eine Liste der Hashes bereit, die mit den über diese Kampagnen bereitgestellten Nutzlasten verbunden sind, Unternehmen sollten sich jedoch nicht allein auf Hashes verlassen, um diese Angriffe zu erkennen.

Wir empfehlen Organisationen, die MOVEit Transfer verwenden, mithilfe der unten bereitgestellten Ressourcen Bedrohungssuchen und Protokollanalysen durchzuführen.

SentinelOne stellt die folgenden Abfragen bereit, mit denen Unternehmen nach Aktivitäten im Zusammenhang mit diesen Angriffen suchen können. Auch wenn diese Abfragen nicht unbedingt alle Angriffsszenarien umfassen, sollten die Ergebnisse untersucht und bewertet werden. Darüber hinaus sollten Verteidiger nach ungewöhnlichen Aktivitäten suchen, die vom MOVEit Transfer-Dienstkonto initiiert werden: Der Standardwert ist moveitsvc, obwohl einige Instanzen möglicherweise einen benutzerdefinierten Kontonamen haben.

Zusätzlich zu diesen Abfragen stellt SentinelOne ein Skript zum Scannen auf mögliche Ausnutzung der MOVEit Transfer-Schwachstelle bereit.

Basierend auf den von SentinelOne beobachteten Aktivitäten gehen wir davon aus, dass das Ziel des Angreifers darin besteht, Zugang zu möglichst vielen Opferumgebungen zu erlangen, um eine Datei-Exfiltration in großem Umfang durchzuführen.

Während die Ransomware-Gruppe Cl0p die Verantwortung für diese Angriffe beanspruchte, stellt SentinelOne fest, dass diese Techniken mit einem breiteren Trend finanziell motivierter Angriffe gegen Webserver übereinstimmen, auf denen anfällige Dateiübertragungssoftware ausgeführt wird. Zu dieser Aktivitätskategorie gehören Angriffe auf die Software Aspera Faspex, die Anfang des Jahres 2023 die IceFire-Ransomware verbreitete, sowie Angriffe, die Cl0p zugeschrieben werden und einen 0-Day-Fehler in der MFT-Anwendung (Managed File Transfer) von GoAnywhere ausnutzten. Basierend auf der relativen Zunahme von Angriffen auf Dateiübertragungsserver, die 0-Day- und N-Day-Exploits nutzen, gibt es wahrscheinlich ein reichhaltiges Exploit-Entwicklungsökosystem, das sich auf Dateiübertragungsanwendungen für Unternehmen konzentriert.

Die Entscheidung des Akteurs, die MOVEit-Schwachstelle zu nutzen, um Dateien im Azure-Cloud-Speicher ins Visier zu nehmen, ist bemerkenswert, wenn diese Aktivität ausschließlich mit der Ransomware-Gruppe Cl0p in Verbindung steht. Cloud-fokussierte Erpresser wie Bianlian und Karakurt nutzen vielseitige Dateiverwaltungstools wie Rclone und Filezilla. Eine maßgeschneiderte Webshell, die darauf ausgelegt ist, Azure-Dateien über SQL-Abfragen zu stehlen, die speziell auf die Zielumgebung zugeschnitten sind, stellt eine bemerkenswerte Abweichung von dieser etablierten Norm dar und legt nahe, dass die Tools wahrscheinlich lange vor ITW-Angriffen entwickelt und getestet wurden.

Zu den Dateien, die mit der Ausnutzung anfälliger MOVEit Transfer-Instanzen in Zusammenhang stehen, gehören die folgenden.

SHA1d013e0a503ba6e9d481b9ccdd119525fe0db765234d4b835b24a573863ebae30caab60d6070ed9aac8e03cb454034d5329d810bbfeb2bd2014dac16deee9451901badbfb cf920fcc5089ddc1ee4ec06d73f19114d61bd09789788782f407f6fe1d6530b97d91f5b03932793ff32ad99c5e611f1e5e7fe561a2f74b02f29f5b1a9fe3efe68c8 f4 8c717be45c2c756c290729981d3804681e94b73d6f0be17914611608a031358817324568db9ece1f09e74de4719b8704c96436ffcbd93f954158fa374df05dd f7f 6

Gefällt Ihnen dieser Artikel? Folgen Sie uns auf LinkedIn, Twitter, YouTube oder Facebook, um die von uns geposteten Inhalte zu sehen.