CobaltStrike Attack...
 
Benachrichtigungen
Alles löschen

CobaltStrike Attack, Zero Day Exploit Exchange Servers

9 Beiträge
3 Benutzer
0 Likes
447 Ansichten
Roman_Wien
(@werom-edv)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 166
Themenstarter  

Hi!

Kurz und knackig: Wie werde ich die Codesignatur vom Cobaltstrike-Hack aufgrund des Exchange Zero Day Exploit vom Jahr 2022 (Url-Rewrite) in der pagefile.sys los?

Exchange-Server booten mit CT-Desinfect.iso, dort den Open Threat Scanner gestartet, Update durchlaufen lassen und am Ende kommt als Log:

CobaltStrike Resources Template Vbs v3 3 to v4 x /media/HDD/pagefile.sys
CobaltStrike Resources Reverse Bin v2 5 through v4 x /media/HDD/pagefile.sys
CobaltStrike Resources Dnsstager Bin v1 47 through v4 x /media/HDD/pagefile.sys
CobaltStrike Resources Artifact64 v1 49 v2 x v3 0 v3 3 thru v3 14 /media/HDD/pagefile.sys
CobaltStrike Resources Artifact32svc Exe v3 1 v3 2 v3 14 and v4 x /media/HDD/pagefile.sys
CobaltStrike Resources Artifact32 v3 14 to v4 x /media/HDD/pagefile.sys

Einfach die pagefile.sys rauslöschen aus der Festplatte mit Boot-CD eines anderen Systems funktioniert. Windows startet weiterhin, legt eine "neue" pagefile.sys scheinbar an, aber sobald man die scannt, ist wieder der Cobaltstrike Hack drin. Also theoretisch ist noch irgendwo, irgendwas am Server? Nur alle Antivirenscanner von Desinfect finden auf den Platten sonst nichts, kein Virus, kein gar nix.

Mir ist schon klar, eine Neuinstallation vom System bringt Abhilfe, aber es muss ja trotzdem möglich sein, das los zu werden.

Wer kennt sich aus oder hat dasselbe Thema?

Btw: Neuinstallation: Neues Windows und neuen Exchange in den bestehenden Exchange dazu hängen, um dann die Postfächer zu übertragen, könnte ja auch bedeuten, dass der Cobaltstrike den neuen Server attackiert, da ja die selben Adminzugangsdaten funktionieren - es sind ja dann 2 Exchange Server im Active-Directory. Also in Wirklichkeit ist das ebenso keine Lösung. 

 

Somit - Schluss mit Exchange Server on premise und ab zu Office-Online ist die einzige Lösung?

Hoffe, dass sich vielleicht jemand anders auch damit abquält und nicht weiß, was gerade zu tun ist.

Lg


   
Zitat
(@kendo3765)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 14
 

Hi Roman_Wien,

hast Du es mal mit dem Microsoft Security Scanner auf dem Exchange und dem DC ausprobiert. Ich hatte damals das ProxyLogon Problem bei einem Kunden und habe es damit gelöst bekommen.

Gruß Kendo


   
AntwortZitat

Roman_Wien
(@werom-edv)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 166
Themenstarter  

Hi @kendo3765

Danke für deine Antwort!

Habe den MSERT Microsoft Safety Scanner v1.379, (build 1.379.1408.0) verwendet, solange der Scan läuft schreibt er Files infected: 6 aber am Ende kommt, keine Infektion, alles gut.
Auch im Log unter windows\debug\msert.log zu sehen ist nur


---------------------------------------------------------------------------------------
Microsoft Safety Scanner v1.379, (build 1.379.1408.0)
Started On Sun Dec 4 13:13:11 2022

Engine: 1.1.19900.2
Signatures: 1.379.1408.0
MpGear: 1.1.16330.1
Run Mode: Interactive Graphical Mode

Results Summary:
----------------
No infection found.

 

Kann doch nicht sein?

In der GUI sind Infections gegeben und am Ende wird von nix berichtet. Ich war echt schon soooo happy, dass da was gefunden wurde, dass ich austauschen oder löschen kann. Und dann nix.

Hit in the face. Oder mache ich was falsch? Habe den tiefen Scan ausgewählt.

Danke für deine Antwort nochmal! Ich bin hier echt am Ende und weiß einfach nicht weiter.

Lg


   
AntwortZitat
Roman_Wien
(@werom-edv)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 166
Themenstarter  

2 infected files schon jetzt und am ende steht, dass alles gut ist. kann ich sooft wiederholen wie ich will, Anzeige kommt immer mit Infektionen und am Ende alles gut. Auch die Logs zeigen mir keine Infektionen auf. Siehe Bilddatei anbei.

Danke Microsoft für den super offenen Bug und danke für das Tool, das mir Infektionen anzeigt und dann aber alles gut sagt.

 

Was als nächstes?


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 2 Jahren
Beiträge: 1007

   
AntwortZitat
Roman_Wien
(@werom-edv)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 166
Themenstarter  

Danke @norbertfe, heißt auf gut Deutsch, dass eher beim Ende, jedenfalls eine Internetverbindung gegeben sein muss und mir der command and controlserver noch voll in den Server furzen kann. Wow, dann hab ich die Infektionen nur der Server ist verschlüsselt. Truly amazing like the bug that has caused all that!

Werde also das ganze mal mit Internetverbindung testen und vermutlich, genauso wenig am Ende erhalten. Damit weiß ich dann nach wie vor, der Server ist infiziert mit Cobaltstrike und ich weiß nicht wie der immer wieder infiziert wird. Wird der Server gesäubert und ohne Netzwerk gestartet, 5 Min einfach eingeschaltet und dann ausgeschaltet und erneut mittels Ct-Desinfect überprüft, ist wieder ein Cobaltstrike-Pattern im pagefile.sys zu finden. Die Infektion muss also innerhalb vom Server ausgehen und nix wird erkannt.

Das gibts doch nicht!?


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 2 Jahren
Beiträge: 1007
 

Veröffentlicht von: @werom-edv

Wow, dann hab ich die Infektionen nur der Server ist verschlüsselt.

 

dann mach halt vorher ne Kopie des Servers. Wenn da wirklich was drauf ist, hast du doch sowieso ein Problem. Da hilft dir auch kein Tool im worstcase, sondern nur ne Neuinstallation der gesamten Umgebung oder Wiederherstellung aus einem unkompromittierten Backup.

 

Diese r Beitrag wurde geändert Vor 2 Monaten von NorbertFe

   
AntwortZitat
Roman_Wien
(@werom-edv)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 166
Themenstarter  

Hi!

Ich versteh's jetzt nicht ganz:

Habe neuen AD-Controller erstellt. Server 2019 installiert. Überprüft auf Cobaltstrike, nix gefunden.

Danach Domainjoin gemacht in den ganz neuen AD-Controller.

Erneut gescannt - nix gefunden.

Habe Exchange-2019-CU12.iso runtergeladen und nur entpackt.

Erneut überprüft, findet keinen Cobaltstrike sondern nur EICAR Test Virus - ist OK.

Installiere Exchange 2019 am Server 2019 und nach erfolgreichem Abschluss, heruntergefahren und erneut überprüft.

Zack - CobaltStrike-Zeilen sind vorhanden?!??!?!?!?!?! Im ganzen neuen Exchange, beim neuen AD-Server, ohne jeglichen anderen Computer im Netzwerk!!!
Es war eine Internetverbindung während Installation, aber keine NAT-Weiterleitung. Und zusätzlich wurde in der Firewall eingestellt, dass die FireHOL-Liste Level3 blockiert wird, also Command and Control-IPs sind gesperrt. Wobei sowieso keiner von außen nach innen zugreifen darf weil nix weitergeleitet wird.

CobaltStrike Resources Template Vbs v3 3 to v4 x /media/HDD/pagefile.sys
CobaltStrike Resources Reverse Bin v2 5 through v4 x /media/HDD/pagefile.sys

CobaltStrike Resources Dnsstager Bin v1 47 through v4 x /media/HDD/pagefile.sys
CobaltStrike Resources Artifact32svc Exe v3 1 v3 2 v3 14 and v4 x /media/HDD/pagefile.sys
CobaltStrike Resources Artifact32 v3 14 to v4 x /media/HDD/pagefile.sys

Alle Zeilen fast genauso wie beim anderen "Hack" - nur jetzt glaube ich eher dass es false/positive Meldung ist.
CobaltStrike Resources Artifact64 v1 49 v2 x v3 0 v3 3 thru v3 14 /media/HDD/pagefile.sys
Diese Zeile kommt beim Server2019 nicht vor, die war beim gehackten System. 

Nur nochmal: Alles komplett neu gemacht, nichts übernommen. Alles from scratch. Alles mit Privaten-Netzwerken gemacht. Das gibts doch nicht?

Nur auf der anderen Seite habe ich keinen Kunden mit Server2019+Exchange2019 und dort kommen diese CobaltStrike-Zeilen nicht auf. Der hat CU11 installiert, ich habe hier CU12 installiert. Frisch runtergeladen von der Webseite.

Ich versteh die Welt nicht mehr!!! Ich werde mich mal an CT-Heise wenden, von denen kommt die BootCD, ich glaube, hier endet das wissen weils einfach zu neu ist

Schreibe wieder, wenn ich was erfahre.

Diese r Beitrag wurde geändert Vor 2 Monaten von Roman_Wien

   
AntwortZitat

Roman_Wien
(@werom-edv)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 166

   
AntwortZitat
Teilen: