Sophos: Comment l’intervention opportune arrêté une attaque ProxyLogon

Les chercheurs en cybersécurité de Sophos ont partagé des détails sur la façon dont ils ont pu couper une cyberattaque en cours contre l’un de leurs clients, qui a exploité les vulnérabilités proxylogon dangereux dans les cas sur place de Microsoft Exchange Server.

Le client, dont l’identité n’a pas été révélée, est une grande organisation nord-américaine avec environ 15 000 points de terminaison en jeu. Il a d’abord été compromis le 16 mars 2021, quelques semaines après la divulgation des jours zéro proxyLogon, via CVE-2021-26855 et CVE-2021-27065, qui ont été mis à profit pour exécuter une commande PowerShell malveillante sur le serveur vulnérable.

« La cible a dit à leur équipe Sophos qu’ils pensaient qu’ils avaient patché le séver Exchange correctement, puis avait testé si le serveur a été compromis en utilisant certains scripts fournis par Microsoft », a déclaré Andrew Brandt, chercheur principal à Sophos, dans un blog détaillant l’incident.

« Malheureusement, ils se sont trop appuyés sur ces scripts, que Microsoft avait par la suite révisé. Les premiers tests ont montré que le serveur n’avait pas été compromis, mais les tests de suivi à l’aide des scripts révisés ont révélé que le serveur avait, en fait, été repris.

« Bien qu’il ait été utile d’exécuter les scripts « Have I Been Compromised », il sert également de mise en garde selon laquelle les organisations ne devraient pas compter uniquement sur un script de test pour se donner la tranquillité d’esprit. »

En moins de 90 minutes, l’attaquant avait découvert les comptes d’administration de domaine de l’organisation, jeté les informations d’identification de la mémoire afin de travailler sur la fissuration de leurs mots de passe hors ligne, et modifié une clé de registre pour effacer les informations d’identification stockées de la mémoire – ce qui obligerait tous les utilisateurs légitimes à retaper leur mot de passe la prochaine fois qu’ils se sont connectés.

Deux jours plus tard, ils sont revenus et ont commencé à se déplacer à travers le réseau cible, établissant des bases sur d’autres machines, saisissant d’autres informations d’identification et la mise en place d’une porte dérobée dans le réseau. Ils ont également utilisé leur accès pour installer un outil commercial d’accès helpdesk informatique appelé Remote Utilities, signé avec un certificat légitime délivré par Sectigo.

Ils se sont ensuite tus jusqu’au 27 mars, quand ils sont revenus et ont essayé d’exécuter une balise de frappe de Cobalt en mémoire – les outils de Sophos ont empêché cela, ainsi qu’une deuxième tentative le 31 mars.

Le 1er avril, l’attaquant a commencé à utiliser l’outil Remote Utilities pour ouvrir une connexion à partir d’un ordinateur avec une adresse IP paris à l’un des serveurs internes ciblés, et a été en mesure de fournir le malware Mimikatz, un nouveau script PowerShell, et de créer de nouveaux utilisateurs avec des droits d’administration. Un jour plus tard, la cible a recruté l’équipe de réponse à la menace gérée (MTR) de Sophos.

L’attaque était probablement un précurseur d’une attaque ransomware à part entière, et son évasif, nature à combustion lente signifiait qu’il aurait probablement été couronnée de succès si la cible n’avait pas approché son partenaire de sécurité pour obtenir de l’aide. Dans de nombreux cas où les acteurs malveillants voient leur outillage est bloqué par des produits de sécurité, ils s’intensifient rapidement pour déployer ransomware, il est donc probable que la victime a agi dans l’entaille du temps.

« L’action rapide des laboratoires et du MTR a permis de contrer les actions des attaquants par des réactions qui les empêchaient de faire plus de dégâts », a écrit Brandt. « Le plus grand mal qu’ils ont causé a amené l’organisation à exiger de tous les employés qu’ils changent leurs mots de passe. »

Dan Schiappa, chef de produit chez Sophos, a ajouté : « Comme expliqué dans le rapport de recherche, les attaquants sont revenus à plusieurs reprises, parfois avec des outils différents et d’autres fois pour déployer le même outil, comme Cobalt Strike, sur différentes machines. Ils ont utilisé un service public d’accès à distance commercial plutôt que le RDP plus standard que les chasseurs de menaces chercheraient plus généralement.

« Ce rapport explique la nature complexe des cyberattaques à action humaine et la façon dont les incidents multi-vecteurs à plusieurs étapes sont difficiles à suivre et à contenir pour les équipes de sécurité informatique. La cible ne pouvait tout simplement pas suivre l’activité d’attaque qui se déroule dans toutes les parties du domaine. D’après sophos’ 2021 État de ransomware rapport, cette question est plus répandue que cet incident. Plus de 54 % des responsables informatiques interrogés ont déclaré que les cyberattaques sont trop avancées pour que leurs équipes informatiques les gèrent par elles-mêmes.

Sophos lance aujourd’hui un nouveau produit de détection et de réponse étendue (XDR) qui synchronise la sécurité des points de terminaison, des pare-feu et des e-mails natifs afin de fournir une « vue holistique » de l’environnement d’une organisation avec de riches ensembles de données et une analyse approfondie pour une meilleure détection, enquête et réponse des menaces.