March 21, 2023


Microsoft Exchange

Malware baru yang dijuluki ‘ProxyShellMiner’ mengeksploitasi kerentanan Microsoft Exchange ProxyShell untuk menyebarkan penambang cryptocurrency di seluruh domain Windows untuk menghasilkan keuntungan bagi penyerang.

ProxyShell adalah nama dari tiga kerentanan Exchange yang ditemukan dan diperbaiki oleh Microsoft pada tahun 2021. Ketika dirangkai bersama, kerentanan memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi, membiarkan penyerang mengambil kendali penuh atas server Exchange dan berputar ke bagian lain dari jaringan organisasi.

Dalam serangan yang dilihat oleh Morphisec, pelaku ancaman mengeksploitasi kelemahan ProxyShell yang dilacak sebagai CVE-2021-34473 dan CVE-2021-34523 untuk mendapatkan akses awal ke jaringan organisasi.

Selanjutnya, pelaku ancaman menjatuhkan muatan malware .NET ke folder NETLOGON dari pengontrol domain untuk memastikan bahwa semua perangkat di jaringan menjalankan malware tersebut.

Agar malware dapat diaktifkan, diperlukan parameter baris perintah yang juga berfungsi sebagai kata sandi untuk komponen penambang XMRig.

Parameter baris perintah khusus
Parameter baris perintah khusus (Morfisek)

“ProxyShellMiner menggunakan kamus tersemat, algoritme dekripsi XOR, dan kunci XOR yang diunduh dari server jarak jauh,” menjelaskan Laporan Morphisec.

“Kemudian, ia menggunakan C# compiler CSC.exe dengan parameter kompilasi “InMemory” untuk menjalankan modul kode tersemat berikutnya.”

Pada fase berikutnya, malware mengunduh file bernama “DC_DLL” dan melakukan refleksi .NET untuk mengekstrak argumen untuk penjadwal tugas, XML, dan kunci XMRig. File DLL digunakan untuk dekripsi file tambahan.

Pengunduh kedua menetapkan kegigihan pada sistem yang terinfeksi dengan membuat tugas terjadwal yang dikonfigurasi untuk dijalankan setelah pengguna masuk. Terakhir, pemuat kedua diunduh dari sumber jarak jauh, bersama dengan empat file lainnya.

Tugas terjadwal yang disederhanakan
Tugas terjadwal yang disederhanakan (Morfisek)

File itu memutuskan browser mana dari mereka yang diinstal pada sistem yang dikompromikan yang akan digunakan untuk menyuntikkan penambang ke dalam ruang memorinya, menggunakan teknik yang dikenal sebagai “proses pengosongan.” Setelah itu, ia mengambil kumpulan penambangan acak dari daftar hardcode, dan aktivitas penambangan dimulai.

Memilih kolam penambangan
Memilih kolam penambangan (Morfisek)

Langkah terakhir dalam rantai serangan adalah membuat aturan firewall yang memblokir semua lalu lintas keluar, yang berlaku untuk semua profil Windows Firewall.

Tujuan dari hal ini adalah untuk memperkecil kemungkinan pembela HAM mendeteksi penanda infeksi atau menerima peringatan apa pun tentang potensi penyusupan dari sistem yang dilanggar.

Untuk menghindari alat keamanan yang memantau perilaku runtime proses, malware menunggu setidaknya 30 detik setelah pengosongan browser sebelum membuat aturan firewall. Kemungkinan, penambang terus berkomunikasi dengan kumpulan penambangannya melalui pintu belakang yang tidak dipantau oleh alat keamanan.

Menambahkan aturan firewall untuk memblokir semua lalu lintas keluar
Menambahkan aturan firewall untuk memblokir semua lalu lintas keluar (Morfisek)

Morphisec memperingatkan bahwa dampak malware lebih dari sekadar menyebabkan gangguan layanan, menurunkan kinerja server, dan komputer yang terlalu panas.

Setelah penyerang mendapatkan pijakan di jaringan, mereka dapat melakukan apa saja mulai dari penerapan pintu belakang hingga eksekusi kode.

Untuk mengatasi risiko infeksi ProxyShellMiner, Morphisec menyarankan semua admin untuk menerapkan pembaruan keamanan yang tersedia dan menggunakan strategi deteksi dan pertahanan ancaman yang komprehensif dan beragam.

Leave a Reply

Your email address will not be published. Required fields are marked *