Resumo
Este relatório conjunto de cibersegurança usa a estrutura MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®), Versão 9. Consulte a estrutura ATT&CK para Enterprise para obter as técnicas de agente de ameaça referenciadas e para mitigações.
Esta consultoria conjunta é o resultado de esforços analíticos entre o Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA) para destacar a ameaça cibernética associada à exploração ativa de uma vulnerabilidade recentemente identificada (CVE-2021-44077) em Zoho ManageEngine ServiceDesk Plus – software de help desk de TI com gerenciamento de ativos.
CVE-2021-44077, que Zoho classificou como crítica, é uma vulnerabilidade de execução remota de código (RCE) não autenticada que afeta todas as versões do ServiceDesk Plus até, e incluindo, a versão 11305. Esta vulnerabilidade foi corrigida pela atualização lançada pela Zoho em 16 de setembro de 2021 para ServiceDesk Plus versões 11306 e superiores. O FBI e a CISA avaliam que os ciberatores de ameaças persistentes avançadas (APT) estão entre os que exploram a vulnerabilidade. A exploração bem-sucedida da vulnerabilidade permite que um invasor carregue arquivos executáveis e coloque webshells, o que permite ao adversário realizar atividades pós-exploração, como comprometer credenciais de administrador, conduzir movimento lateral e exfiltrar hives de registro e arquivos Active Directory.
A atualização do Zoho que corrigiu essa vulnerabilidade foi lançada em 16 de setembro de 2021, junto com um comunicado de segurança. Além disso, um aviso por e-mail foi enviado a todos os clientes do ServiceDesk Plus com informações adicionais. Zoho lançou um comunicado de segurança subsequente em 22 de novembro de 2021 e aconselhou os clientes a corrigirem imediatamente.
O FBI e a CISA estão cientes de relatos de ciberatores maliciosos que provavelmente usam exploits contra CVE-2021-44077 para obter acesso [T1190] ao ManageEngine ServiceDesk Plus, já no final de outubro de 2021. Os atores foram observados usando várias táticas, técnicas e procedimentos (TTPs), incluindo:
- Gravando webshells [T1505.003] no disco para persistência inicial
- Ofuscação e desofuscação / decodificação de arquivos ou informações [T1027 e T1140]
- Realização de outras operações para descartar as credenciais do usuário [T1003]
- Viver da terra usando apenas binários assinados do Windows para ações subsequentes [T1218]
- Adicionar / excluir contas de usuário conforme necessário [T1136]
- Roubo de cópias do banco de dados do Active Directory (
NTDS.dit) [T1003.003] ou seções de registro - Usando Windows Management Instrumentation (WMI) para execução remota [T1047]
- Excluindo arquivos para remover indicadores do host [T1070.004]
- Descobrindo contas de domínio com o comando net Windows [T1087.002]
- Usando utilitários do Windows para coletar e arquivar arquivos para exfiltração [T1560.001]
- Usando criptografia simétrica personalizada para comando e controle (C2) [T1573.001]
O FBI e a CISA estão investigando proativamente essa atividade cibernética maliciosa:
- O FBI aproveita esquadrões cibernéticos especialmente treinados em cada um de seus 56 escritórios de campo e CyWatch, o centro de operações 24/7 do FBI e sala de observação, que fornece suporte 24 horas por dia para rastrear incidentes e se comunicar com escritórios de campo em todo o país e agências parceiras .
- A CISA oferece uma variedade de serviços de higiene cibernética gratuitos para ajudar as organizações a avaliar, identificar e reduzir sua exposição a ameaças. Ao solicitar esses serviços, organizações de qualquer tamanho podem encontrar maneiras de reduzir seus riscos e mitigar vetores de ataque.
O compartilhamento de informações técnicas e / ou qualitativas com o FBI e a CISA ajuda a capacitar e ampliar nossas capacidades como parceiros federais para coletar e compartilhar inteligência e interagir com as vítimas, enquanto trabalhamos para desmascarar e responsabilizar aqueles que conduzem atividades cibernéticas maliciosas.
Clique aqui para obter uma versão em PDF deste relatório.
Clique aqui para indicadores de compromisso (IOCs) no formato STIX.
Detalhes técnicos
O comprometimento dos sistemas afetados envolve a exploração de CVE-2021-44077 no ServiceDesk Plus, permitindo que o invasor:
- Obtenha um upload irrestrito de arquivo por meio de uma solicitação POST para o URL da API REST do ServiceDesk e carregue um arquivo executável
C:\ManageEngine\Servicedesk\bin\msiexec.exe, com um hash SHA256 deecd8c9967b0127a12d6db61964a82970ee5d38f82618d5db4d8eddbb3b5726b7. Este arquivo executável atua como um conta-gotas e contém um arquivo Godzilla JAR embutido e codificado. - Obtenha execução para o dropper por meio de uma segunda solicitação POST para uma URL de API REST diferente, que então decodificará o arquivo Godzilla JAR embutido e o soltará no caminho de arquivo
C:\ManageEngine\ServiceDesk\lib\tomcat\tomcat-postgres.jarcom um hash SHA256 de67ee552d7c1d46885b91628c603f24b66a9755858e098748f7e7862a71baa015.
Confirmar um comprometimento bem-sucedido do ManageEngine ServiceDesk Plus pode ser difícil – os invasores são conhecidos por executar scripts de limpeza projetados para remover vestígios do ponto inicial de comprometimento e ocultar qualquer relação entre a exploração da vulnerabilidade e o webshell.
Indústrias alvo
Os ciberatores da APT têm como alvo os setores de infraestrutura crítica, incluindo os setores de saúde, serviços financeiros, eletrônicos e consultoria de TI.
Indicadores de compromisso
Hashes
Webshell:
67ee552d7c1d46885b91628c603f24b66a9755858e098748f7e7862a71baa015
068D1B3813489E41116867729504C40019FF2B1FE32AAB4716D429780E666324
759bd8bd7a71a903a26ac8d5914e5b0093b96de61bf5085592be6cc96880e088
262cf67af22d37b5af2dc71d07a00ef02dc74f71380c72875ae1b29a3a5aa23d
a44a5e8e65266611d5845d88b43c9e4a9d84fe074fd18f48b50fb837fa6e429d
ce310ab611895db1767877bd1f635ee3c4350d6e17ea28f8d100313f62b87382
75574959bbdad4b4ac7b16906cd8f1fd855d2a7df8e63905ab18540e2d6f1600
5475aec3b9837b514367c89d8362a9d524bfa02e75b85b401025588839a40bcb
Conta-gotas:
ecd8c9967b0127a12d6db61964a82970ee5d38f82618d5db4d8eddbb3b5726b7
Implantar:
009d23d85c1933715c3edcccb46438690a66eebbcccb690a7b27c9483ad9d0ac
083bdabbb87f01477f9cf61e78d19123b8099d04c93ef7ad4beb19f4a228589a
342e85a97212bb833803e06621170c67f6620f08cc220cf2d8d44dff7f4b1fa3
Porta traseira NGLite:
805b92787ca7833eef5e61e2df1310e4b6544955e812e60b5f834f904623fd9f
3da8d1bfb8192f43cf5d9247035aa4445381d2d26bed981662e3db34824c71fd
5b8c307c424e777972c0fa1322844d4d04e9eb200fe9532644888c4b6386d755
3f868ac52916ebb6f6186ac20b20903f63bc8e9c460e2418f2b032a207d8f21d
342a6d21984559accbc54077db2abf61fd9c3939a4b09705f736231cbc7836ae
7e4038e18b5104683d2a33650d8c02a6a89badf30ca9174576bf0aff08c03e72
Esponja KDC:
3c90df0e02cc9b1cf1a86f9d7e6f777366c5748bd3cf4070b49460b48b4d4090
b4162f039172dcb85ca4b85c99dd77beb70743ffd2e6f9e0ba78531945577665
e391c2d3e8e4860e061f69b894cf2b1ba578a3e91de610410e7e9fa87c07304c
Módulo IIS malicioso:
bec067a0601a978229d291c82c35a41cd48c6fca1a3c650056521b01d15a72da
WinRAR renomeado:
d0c3d7003b7f5b4a3bd74a41709cfecfabea1f94b47e1162142de76aa7a063c7
Csvde renomeado:
7d2780cd9acc516b6817e9a51b8e2889f2dec455295ac6e6d65a6191abadebff
Indicadores de rede
Solicitações POST enviadas para os seguintes URLs:
/RestAPI/ImportTechnicians?step=1
Domínios:
seed.nkn[.]org
Nota: o domínio seed.nkn[.]org é um novo tipo de domínio de rede (NKN) que fornece serviços legítimos de rede ponto a ponto utilizando tecnologia blockchain para descentralização. É possível ter ocorrências de falsos positivos em um ambiente de rede corporativa e deve ser considerado suspeito ver quaisquer contatos iniciados por software para este domínio ou qualquer subdomínio.
Análise de arquivo de log
- Verifique os arquivos de log serverOut * .txt em C: \ManageEngine\ServiceDesk\logs\ em busca de entradas de log suspeitas que correspondam ao seguinte formato:
[<time>]|[<date>]|[com.adventnet.servicedesk.setup.action.ImportTechniciansAction]|[INFO]|[62]: fileName is : msiexec.exe]
Caminhos de arquivo
C:\ManageEngine\ServiceDesk\bin\msiexec.exe
C:\ManageEngine\ServiceDesk\lib\tomcat\tomcat-postgres.jar
C:\Windows\Temp\ScriptModule.dll
C:\ManageEngine\ServiceDesk\bin\ScriptModule.dll
C:\Windows\system32\ME_ADAudit.exe
c:\Users\[username]\AppData\Roaming\ADManager\ME_ADManager.exe
%ALLUSERPROFILE%\Microsoft\Windows\Caches\system.dat
C:\ProgramData\Microsoft\Crypto\RSA\key.dat
c:\windows\temp\ccc.exe
Táticas, técnicas e procedimentos
- Usando WMI para movimento lateral e execução remota de código (em particular,
wmic.exe) - Usando credenciais de texto simples para movimento lateral
- Usando
pg_dump.exepara despejar bancos de dados ManageEngine - Despejo
NTDS.diteSECURITY/SYSTEM/NTUSERregistro de colmeias - Coleta de credencial ativa por meio
LSASS(KDC Sponge) - Exfiltrando através de webshells
- Realizar atividades de exploração, muitas vezes por meio de outra infraestrutura dos EUA comprometida
- Descartando várias webshells e / ou implantes para manter a persistência
- Usando versões renomeadas de
WinRAR,csvdee outras ferramentas legítimas de terceiros para reconhecimento e exfiltração
Yara Rules
strings:
$s1 = “decrypt(fpath)”
$s2 = “decrypt(fcontext)”
$s3 = “decrypt(commandEnc)”
$s4 = “upload failed!”
$s5 = “sevck”
$s6 = “newid”
condition:
filesize < 15KB and 4 of them
}
strings:
$s1 = “AEScrypt”
$s2 = “AES/CBC/PKCS5Padding”
$s3 = “SecretKeySpec”
$s4 = “FileOutputStream”
$s5 = “getParameter”
$s6 = “new ProcessBuilder”
$s7 = “new BufferedReader”
$s8 = “readLine()”
condition:
filesize < 15KB and 6 of them
}
strings:
$u1 = “User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36”
$u2 = “Content-Type: application/soap+xml; charset=UTF-8”
$u3 = “/service/soap”
$u4 = “Good Luck :::)”
$s1 = “zimBR”
$s2 = “log10”
$s3 = “mymain”
$s4 = “urn:zimbraAccount”
$s5 = “/service/upload?fmt=extended,raw”
$s6 = “<query>(in:\”inbox\” or in:\”junk\”) is:unread</query>”
condition:
(uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and filesize < 2MB and 1 of ($u*) and 3 of ($s*)
}
strings:
$s1 = “UEsDBAoAAAAAAI8UXFM” // base64 encoded PK/ZIP header
$s2 = “../lib/tomcat/tomcat-postgres.jar”
$s3 = “RunAsManager.exe”
$s4 = “ServiceDesk”
$s5 = “C:\\Users\\pwn\\documents\\visual studio 2015\\Projects\\payloaddll”
$s6 = “CreateMutexA”
$s7 = “cplusplus_me”
condition:
(uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and filesize < 350KB and 4 of them
}
strings:
$s1 = “org/apache/tomcat/SSLFilter.class”
$s2 = “META-INF/services/javax.servlet.ServletContainerInitializer”
$s3 = “org/apache/tomcat/MainFilterInitializer.class”
condition:
uint32(0) == 0x04034B50 and filesize < 50KB and all of them
}
strings:
$s1 = “/mnt/hgfs/CrossC2-2.2”
$s2 = “WHATswrongwithU”
$s3 = “//seed.nkn.org:”
$s4 = “Preylistener”
$s5 = “preyid”
$s6 = “Www-Authenticate”
condition:
(uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and filesize < 15MB and 4 of them
}
strings:
$k1 = “kdcsvc.dll”
$k2 = “kdccli.dll”
$k3 = “kdcsvs.dll”
$f1 = “KerbHashPasswordEx3”
$f2 = “KerbFreeKey”
$f3 = “KdcVerifyEncryptedTimeStamp”
$s1 = “download//symbols//%S//%S//%S” wide
$s2 = “KDC Service”
$s3 = “\\system.dat”
condition:
(uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and filesize < 1MB and 1 of ($k*) and 1 of ($f*) and 1 of ($s*)
Mitigações
Mitigações de compromisso
As organizações que identificam qualquer atividade relacionada aos indicadores de comprometimento do ManageEngine ServiceDesk Plus em suas redes devem agir imediatamente.
O Zoho ManageEngine ServiceDesk Plus build 11306 ou superior corrige o CVE-2021-44077. ManageEngine inicialmente lançou um patch para esta vulnerabilidade em 16 de setembro de 2021. Um comunicado de segurança subsequente foi lançado em 22 de novembro de 2021 e aconselhou os clientes a corrigirem imediatamente. Informações adicionais podem ser encontradas no comunicado de segurança Zoho lançado em 22 de novembro de 2021.
Além disso, Zoho montou um centro de plano de resposta de segurança que fornece detalhes adicionais, uma ferramenta para download que pode ser executada em sistemas potencialmente afetados e um guia de remediação.
O FBI e a CISA também recomendam fortemente redefinições de senha em todo o domínio e redefinições duplas de senha Kerberos TGT se houver qualquer indicação de que o NTDS.ditarquivo foi comprometido.
Observação: a implementação dessas redefinições de senha não deve ser considerada uma atenuação abrangente em resposta a essa ameaça; etapas adicionais podem ser necessárias para recuperar o controle administrativo de sua rede. Consulte as orientações de mitigação de seus produtos específicos para obter detalhes.
Ações para organizações afetadas
Comunique imediatamente como um incidente à CISA ou ao FBI (consulte a seção Informações de contato abaixo) a existência de qualquer um dos seguintes:
- Identificação de indicadores de compromisso conforme descrito acima.
- Presença de código de webshell em servidores ServiceDesk Plus comprometidos.
- Acesso não autorizado ou uso de contas.
- Evidência de movimento lateral de agentes mal-intencionados com acesso a sistemas comprometidos.
- Outros indicadores de acesso não autorizado ou comprometimento.
Informações de contato
Os destinatários deste relatório são incentivados a contribuir com qualquer informação adicional que possam ter relacionado a esta ameaça.
Para qualquer dúvida relacionada a este relatório ou para relatar uma intrusão e solicitar recursos para resposta a incidentes ou assistência técnica, entre em contato com:
- O FBI por meio da Divisão Cibernética do FBI (855-292-3937 ou [email protected] ) ou de um escritório local
- CISA (888-282-0870 ou [email protected]).
Revisões
Fonte: CISA
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
