14/04/2014
I den digitale tidsalder er en organisations IT-infrastruktur lige så vital som dens menneskelige ressourcer. Den kan blive syg, inficeret og angrebet af ondsindede 'vira'. Den 2. marts 2021 afslørede Microsoft en alvorlig digital sundhedskrise: en række avancerede angreb mod lokale installationer af Microsoft Exchange Server. Denne bølge af angreb, også kendt som Operation Exchange Marauder, blev udført af en sofistikeret gruppe, som Microsoft med stor sikkerhed har identificeret som HAFNIUM. Denne gruppe udnyttede flere såkaldte zero-day sårbarheder – hidtil ukendte svagheder i systemets 'immunforsvar' – til at opnå adgang til servere, stjæle følsomme e-mails og installere bagdøre for vedvarende adgang. Det var en alarmklokke, der ringede for tusindvis af virksomheder verden over, især små og mellemstore organisationer, hvis digitale helbred pludselig var i overhængende fare.
Forstå Patogenet: Hvem er HAFNIUM?
For at kunne bekæmpe en sygdom, må man først forstå den organisme, der forårsager den. I dette tilfælde er 'patogenet' HAFNIUM. Ifølge Microsoft Threat Intelligence Center (MSTIC) er HAFNIUM en statsstøttet hackergruppe, der opererer fra Kina. Deres metoder, mål og taktikker peger på en højt organiseret og ressourcestærk aktør. Deres primære mål med disse angreb var ikke blot at forstyrre driften, men at udføre spionage. Ved at infiltrere Exchange-servere kunne de få adgang til hele organisationens e-mail-korrespondance, hvilket gav dem adgang til forretningshemmeligheder, personlige data og strategisk information. Efter den indledende infiltration installerede de yderligere malware, der fungerede som en kronisk infektion, som sikrede dem langvarig og skjult adgang til de kompromitterede netværk.
Symptomerne: De Udnyttede Sårbarheder (CVEs)
Ethvert vellykket angreb udnytter svagheder i forsvaret. HAFNIUMs angrebskæde var en kombination af flere kritiske sårbarheder, der hver især gav dem en fod indenfor, indtil de havde fuld kontrol. Disse sårbarheder er katalogiseret med unikke CVE-identifikatorer (Common Vulnerabilities and Exposures). At kende disse er som at kende de specifikke symptomer på en sygdom:
- CVE-2021-26855: En Server-Side Request Forgery (SSRF) sårbarhed i Exchange, der tillod angriberen at sende vilkårlige HTTP-anmodninger og autentificere sig som selve Exchange-serveren. Dette var ofte det første skridt i infiltrationen.
- CVE-2021-26857: En usikker deserialiseringssårbarhed i Unified Messaging-tjenesten. Ved at udnytte denne kunne HAFNIUM køre kode på serveren med SYSTEM-privilegier – det højeste adgangsniveau.
- CVE-2021-26858: En sårbarhed, der tillod skrivning af vilkårlige filer efter autentificering. Efter at have opnået adgang via en anden sårbarhed, kunne angriberne bruge denne til at placere deres ondsindede filer (webshells) på serveren.
- CVE-2021-27065: Endnu en sårbarhed relateret til skrivning af vilkårlige filer, som blev brugt til samme formål som CVE-2021-26858.
Kombinationen af disse sårbarheder skabte en perfekt storm, der tillod HAFNIUM at gå fra ingen adgang til fuld kontrol over en sårbar server.
Angrebets Anatomi: Metodologi og Værktøjer
For at forstå, hvordan infektionen spredte sig i systemet, er det nødvendigt at dissekere angribernes metoder og de værktøjer, de medbragte i deres digitale 'lægetaske'.
HAFNIUMs Værktøjskasse
Angriberne brugte en række kendte og specialiserede værktøjer til at udføre deres operation. Her er et overblik over de mest prominente:
- ASP Web shells: Små, men kraftfulde scripts (f.eks. China Chopper), der blev placeret på serveren for at give angriberne en vedvarende bagdør. Gennem disse webshells kunne de køre kommandoer, uploade/downloade filer og bevæge sig videre rundt i netværket.
- Procdump & MiniDump: Værktøjer, der bruges til at dumpe hukommelsen fra processer. HAFNIUM brugte dem specifikt til at udtrække legitimationsoplysninger fra LSASS-processen (Local Security Authority Subsystem Service), som håndterer brugerlogins i Windows.
- 7-Zip: Et simpelt komprimeringsværktøj, der blev brugt til at pakke stjålne data i ZIP-filer, så de var lettere at eksfiltrere (sende ud af netværket).
- Exchange PowerShell snap-ins: legitime administrationsværktøjer, der blev misbrugt til at eksportere hele postkasser.
- Nishang og Powercat: Post-exploitation frameworks og værktøjer, der blev brugt til at oprette reverse shells. En reverse shell giver angriberen en kommandolinjeadgang til den kompromitterede server fra deres egen maskine.
Fremgangsmåde Trin for Trin
Angrebet fulgte typisk et mønster, der kan sammenlignes med en sygdoms udvikling:
- Indledende adgang: Ved at udnytte CVE-2021-26855 fik HAFNIUM adgang til den sårbare Exchange-server.
- Etablering af fodfæste: Angriberne udnyttede derefter sårbarheder som CVE-2021-26858 og CVE-2021-27065 til at skrive en web shell til en filsti på serveren, som var tilgængelig fra internettet.
- Eskalering af privilegier: Med adgang via web shell'en udnyttede de CVE-2021-26857 for at køre kode med de højeste systemrettigheder.
- Dataindsamling og eksfiltrering: Fra denne position brugte de værktøjer som Procdump til at stjæle adgangskoder og Exchange PowerShell til at eksportere postkasser. Dataene blev komprimeret med 7-Zip og sendt ud af netværket.
- Vedvarende adgang: Web shell'en og andre installerede værktøjer sikrede, at HAFNIUM kunne vende tilbage til serveren, selv hvis den oprindelige sårbarhed blev lappet.
Diagnostik: Sådan Opdager du Infektionen
At opdage et HAFNIUM-angreb kræver en grundig undersøgelse af systemets logfiler og processer – en digital diagnose. Microsoft og andre sikkerhedsfirmaer har leveret en række metoder til at lede efter tegn på kompromittering.
Undersøgelse af Logfiler
Specifikke mønstre i Exchange-serverens logfiler kan afsløre udnyttelsen af de enkelte sårbarheder:
- For CVE-2021-26855: Søg i HttpProxy-logfilerne efter anmodninger, hvor `AuthenticatedUser` er tom, og `AnchorMailbox` indeholder mønsteret `ServerInfo~/`.
- For CVE-2021-26858: Gennemgå OABGeneratorLog-filerne for fejlmeddelelsen `Download failed and temporary file`. Dette indikerer, at filer muligvis er blevet skrevet til uautoriserede placeringer.
- For CVE-2021-26857: Kig i Windows Application-eventloggen efter fejl fra kilden `MSExchange Unified Messaging`, der indeholder teksten `System.InvalidCastException`.
- For CVE-2021-27065: Undersøg ECP Server-logfilerne for kommandoer som `Set-VirtualDirectory`, hvor egenskaberne indeholder mistænkelig script-kode.
Tabel: Indikatorer for Kompromittering (IOCs)
Indikatorer for Kompromittering (IOCs) er de konkrete beviser på en infektion. Hvis du finder disse i dit system, er det et stærkt tegn på, at du er blevet ramt. Nedenfor er en sammenligning af de forskellige typer IOCs.
| IOC Type | Beskrivelse | Eksempler |
|---|---|---|
| IP-adresser | IP-adresser, hvorfra angriberne har opereret. Bloker disse i din firewall. | 103.77.192.219, 157.230.221.198, 5.254.43.18 |
| Web Shell Hashes | Unikke fingeraftryk (SHA256-hashes) af de ondsindede web shell-filer. | b75f163ca9..., 097549cf7d..., 2b6f1ebb22... |
| Filstier | Placeringer på serveren, hvor angriberne typisk gemte deres web shells. | C:\inetpub\wwwroot\aspnet_client\, ...\HttpProxy\owa\auth\ |
| Filnavne | Almindelige navne på de ondsindede web shell-filer. | web.aspx, help.aspx, errorEE.aspx, shell.aspx |
Ofte Stillede Spørgsmål (FAQ)
Hvad er "Operation Exchange Marauder"?
"Operation Exchange Marauder" er navnet, som sikkerhedsfirmaet Volexity gav den angrebskampagne, hvor HAFNIUM-gruppen udnyttede flere zero-day sårbarheder i Microsoft Exchange Server til at stjæle data og installere bagdøre.
Hvem blev primært ramt af dette angreb?
Angrebet ramte især små og mellemstore organisationer. Dette skyldes sandsynligvis, at større virksomheder oftere anvender cloud-baserede e-mail-løsninger (som f.eks. Microsoft 365), som ikke var sårbare over for disse specifikke angreb, der var rettet mod lokale (on-premises) Exchange-servere.
Hvad var den vigtigste modforanstaltning?
Den absolut vigtigste og mest presserende handling var at installere de sikkerhedsopdateringer, som Microsoft frigav. Myndigheder og sikkerhedseksperter verden over opfordrede indtrængende alle administratorer af lokale Exchange-servere til at patche deres systemer øjeblikkeligt for at lukke sårbarhederne.
Er det nok bare at installere opdateringerne, hvis man allerede er blevet ramt?
Nej. At installere en opdatering er som at lukke stalddøren, efter hesten er stukket af. Opdateringen forhindrer nye angreb, men fjerner ikke den malware (f.eks. web shells), som angriberne allerede måtte have installeret. Derfor er det afgørende også at scanne systemet for Indikatorer for Kompromittering (IOCs) og fjerne alle spor af angriberne.
Konklusion: Digital Hygiejne og Forebyggelse
HAFNIUM-angrebet fungerer som en kraftig påmindelse om, at ingen organisation er immun over for digitale trusler. Det understreger vigtigheden af proaktiv digital hygiejne: rettidig installation af sikkerhedsopdateringer, grundig overvågning af systemlogfiler og en beredskabsplan for, hvordan man reagerer på en sikkerhedshændelse. Ligesom med vores fysiske helbred er forebyggelse den bedste medicin. At holde sine systemer opdaterede og overvågede er den bedste måde at sikre organisationens digitale sundhed og modstandskraft mod fremtidige epidemier af cyberangreb.
Hvis du vil læse andre artikler, der ligner HAFNIUM-angrebet: En digital sundhedskrise, kan du besøge kategorien Sundhed.