Mendeteksi dan Merespon Serangan Terhadap Microsoft Exchange
Microsoft exchange merupakan sebuah produk mail server yang dikembangkan oleh Microsoft dan banyak digunakan oleh organisasi besar. Microsoft exchange sendiri memiliki Outlook Web App (OWA) yang merupakan aplikasi web pengelola informasi pribadi memungkinkan pengguna terhubung ke akun email melalui web browser.
Threat actor secara aktif melakukan scanning dan mengeksploitasi Microsoft Exchange yang rentan dan selalu menjadi sasaran yang bernilai tinggi sebagai akses awal atau pintu masuk ke dalam jaringan dengan melakukan eksploitasi 0day.
Beberapa threat actor group telah menggunakan eksploitasi 0day untuk menyerang organisasi di seluruh dunia. Berikut ini daftar threat actor group yang telah teridentifikasi melakukan eksploitasi 0day menargetkan microsoft exchange :
- Hive Ransomware
- Cuba Ransomware
- Mustang Panda
- HAFNIUM
- Calypso
- Tonto: the party begins
- The “Opera” Cobalt Strike
- Mikroceen
- Iron Tiger
- Naikon
- Winnti Group
- Websiic
- LuckyMouse
- Tick
Berikut ini daftar kerentanan pada microsoft exchange yang sering dieksploitasi oleh threat actor :
Setelah berhasil masuk ke dalam microsoft exchange server penyerang akan mempertahankan akses dengan memasang webshell atau memanfaatkan IIS Native Module sebagai alternative backdoor.
Selain itu juga beberapa threat actor mencuri email sensitif dengan cara melakukan email forwarding ke email attacker dan melakukan export email pada pengguna tertentu.
Red Team Scenario
Dalam red team scenario ini dibuat semirip mungkin dengan meniru TTPs yang digunakan oleh threat actor.
Red Team Tools
Mitre ATT&CK Mapping
Untuk initial access dengan cara melakukan eksploitasi kerentanan yang menargetkan microsoft exchange server menggunakan metasploit module proxylogon rce.
Eksploitasi berhasil penyerang mendapatkan session ke server target.
Selanjutnya penyerang melakukan persistence dengan mengupload malicious IIS Native Module yang digunakan sebagai alternative backdoor dari webshell. IIS Native Module digunakan untuk memperluas IIS menyediakan fungsionalitas yang bisa disesuaikan.
Untuk membuat malicious IIS Native Module dengan IIS Raid terlebih dahulu edit source code sesuaikan password yang akan digunakan dan terakhir compile menggunakan visual studio.
Untuk menginstall module menggunakan perintah appcmd.exe install module.
Setelah IIS Native Module berhasil terinstall untuk melakukan interaksi ke server target jalankan iis_controller.py masukan url dan sesuaikan dengan password yang digunakan.
Threat Hunting
Threat hunting merupakan aktivitas yang secara proaktif menyelidiki potensi kompromi dan mendeteksi ancaman tingkat lanjut yang tidak terdeteksi oleh kontrol keamanan dengan mengidentifikasinya sedini mungkin dan memahami apa yang terjadi di dalam jaringan.
Threat hunting membantu organisasi untuk mengurangi dwell time penyerang. Dwell time merupakan waktu awal penyerang berhasil masuk sampai di mana organisasi mengetahui aktivitas penyerang.
Untuk memulai threat hunting harus memiliki pengetahuan dasar bagaimana threat actor (APT dan Ransomware group) bekerja, ini dapat dipelajari melaui Mitre ATT&CK Framework yang merupakan kumpulan pengetahuan mengenai taktik, teknik dan prosedur menjelaskan cara kerja threat actor melakukan penetrasi ke dalam jaringan internal dimulai dari reconnaissance sampai dengan impact (objective) berdasarkan pengamatan dunia nyata (threat intelligence).
Selain itu juga sebagai threat hunter harus mampu mengidentifikasi proses anomali, proses penyamaran dan proses tersembunyi, untuk mempelajari ini bisa melihat referensi pada SANS Hunt Evil Poster dan coba menginstall process explorer atau process hacker.
Threat hunting harus memilki visibility yang baik tidak bisa hanya sekedar mengandalkan windows event log bawaan, jadi sebagai solusi harus menggunakan Endpoint, Detection and Response (EDR) atau solusi lain yang free dapat menggunakan system monitoring (sysmon).
Kemampuan sysmon kurang lebih hampir mirip dengan EDR tetapi tidak memiliki response untuk memblokir serangan. Sysmon memberikan visibility pemantauan yang lebih dalam seperti dapat memonitor pembuatan proses baru, koneksi jaringan, pembuatan file baru, perubahan pada sistem file, dll.
Wazuh
Wazuh merupakan perangkat pemantauan keamanan berbasis open source berfungsi sebagai host intrusion detection system (HIDS). Pada Wazuh dapat melakukan analisis log, pemantauan file integrity, pemantauan registry maupun dapat mendeteksi adanya rootkit.
Sysmon event log dapat dikirimkan ke wazuh untuk di pantau ini bisa digunakan untuk melakukan hunting aktivitas apapun, untuk melakukan hunting webshell bisa melihat melalui event id 11 (File Create) dengan indikasi adanya file baru dengan extension aspx yang berlokasi pada folder \inetpub\wwwroot\aspnet_client\, HttpProxy\owa\auth, dan \HttpProxy\OAB.
(data.win.system.eventID: 11 and ("*\\inetpub\\wwwroot\\aspnet_client\\*" or "*HttpProxy\\owa\\auth\\*" or "*\\HttpProxy\\OAB\\*"))
Hasilnya ditemukan ada file dengan nama random pada folder exchange server yang mengindikasikan ada aktivitas webshell. Cara lain jika penyerang mengeksekusi command melalui webshell untuk mengetahui proses anomali dengan memantau sysmon event id 1 (Proccess creation) dan mencari parentimage w3wp.exe program ini bertangung jawab menjalankan server IIS dan proses dibawahnya akan ada spawn program cmd.exe atau powershell.exe bisa juga program lainnya.
(data.win.eventdata.parentImage:*\\w3wp.exe and data.win.eventdata.image:*\\cmd.exe)
Untuk melakukan hunting malicious IIS Native Module masih sama melalui sysmon event id 1 dengan mencari image appcmd.exe dan terdapat command install module pada command line.
(data.win.eventdata.image:*\\appcmd.exe and "*install module*")
Velociraptor
Selanjutnya belajar menggunakan Velociraptor untuk melakukan threat hunting. Velociraptor merupakan alat endpoint monitoring berbasis server dan agent membantu untuk melakukan investigasi seperti digital forensic, threat hunting dan incident response.
Di Velociraptor sendiri belum ada artifact yang dapat membantu untuk mendeteksi webshell, untuk menambahkan custom artifact atau module baru pada velociraptor masuk ke View Artifacts.
Klik icon plus untuk menambahkan artifact baru.
Mgreen27 membuat sebuah velociraptor arfiact untuk mendeteksi webshell pada server IIS memanfaatkan yara rules.
Copy artifact yang ada pada gist github milik Mgreen27 kemudian paste artifact ke velociraptor dan klik save.
Untuk melakukan hunting pada Velociraptor, masuk ke menu Hunt Manager kemudian buat hunt baru.
Masukan deskripsi sebagai contoh Hunting Webshell, pada aktivitas ini hanya memfokuskan pada sistem operasi windows jadi perlu disesuaikan, pada Include Condition pilih Operating System dan pada Operating System Included pilih Windows.
Selanjutnya pilih Select Artifacts, kemudian cari webshell akan muncul custom artifact yang sudah ditambahkan sebelumnya, klik launch untuk simpan hunting yang baru dibuat.
Untuk menjalankan hunting klik icon play dan klik Run It!
Tunggu hingga proses hunting selesai, jika berhasil mendeteksi adanya webshell TotalRows akan bertambah menjadi 1 atau lebih, untuk melihat hasilnya pilih FlowId.
Velociraptor berhasil mendeteksi adanya webshell pada program microsoft exchange, hasil diatas totalrow ada 5 yang berarti ditemukan 5 webshell.
Velocirpator sendiri memiliki kemampuan untuk live response bisa langsung menghapus webshell pada file path yang ditemukan melalui console. Terakhir untuk menghapus malicious iis module gunakan perintah appcmd.exe uninstall untuk melakukan uninstall module.
c:\windows\system32\inetsrv\appcmd.exe uninstall module FastCgiModule_64bit
