Microsoft는 "Exchange 서버는 엔터프라이즈 네트워크에 침입하려는 공격자에게 이상적인 대상이며,"관리자가 유지 관리에 사용하는 동일한 기본 제공 도구 나 스크립트를 사용하여 공격자가 다양한 작업을 수행 할 수있는 고유 한 환경을 제공합니다 "라고 말합니다.

그리고 대부분의 경우 초기 진입 점이 아니지만이 회사는 최근에 패치되지 않은 결함 (특히 패치되지 않은 결함)을 악용하여 Exchange 서버를 손상시키는 공격이 증가하는 것을 목격했습니다. CVE-2020-0688패치는 2020 년 XNUMX 월에 릴리스되었습니다.

공격자는 결함을 악용하기 전에 서버에 액세스 할 수있는 유효한 전자 메일 자격 증명을 훼손해야하지만, 공격에 성공한 것은 분명합니다. (케빈 보 몬트 설명 그다지 문제가되지 않는 이유)

"이것은 공격자의 꿈입니다. 서버에 직접 착륙하고 서버가 액세스 수준을 잘못 구성한 경우 시스템 권한을 얻습니다."Microsoft Defender ATP Research Team 유명한. 불행히도 여전히 너무 많다 인터넷에 연결되고 패치되지 않은 Exchange 서버가 있습니다.

공격 체인

Microsoft에 따르면 XNUMX 월은 여러 캠페인이 Exchange 서버를 대상으로 시작한 달이었습니다.

액세스 권한을 얻은 후 공격자는 설치를 계속했습니다. 웹쉘 서버를 원격으로 제어 한 다음 도메인 사용자 및 그룹에 대한 정보, 네트워크의 다른 Exchange 서버 및 사서함에 대한 정보를 탐색하고 네트워크에서 취약한 시스템을 검색하기 위해 해당 환경을 탐색하기 시작했습니다.

새 사용자 계정을 추가하고 권한을 상승시켜 손상된 Exchange 서버에서 지속성을 달성 한 다음 SAM (Security Account Manager) 데이터베이스, LSASS (Local Security Authority Subsystem Service) 메모리 및 도메인 컨트롤러에서 자격 증명 추출을 진행했습니다.

WMI (Windows Management Instrumentation)와 PsExec (원격으로 프로세스를 실행하는 Microsoft 도구)을 사용하여 측면 이동을 수행하고 Exchange 관리 셸 명령을 통해 사서함을 내보냈으며 네트워크 제한을 무시하고 원격을 통해 컴퓨터에 원격으로 액세스 할 수있는 네트워크 아키텍처를 만들었습니다. RDP (Desktop Protocol)와 마지막으로 데이터를 압축하여 쉽게 액세스 할 수 있도록 웹에 액세스 할 수있는 경로에 넣었습니다.

완화 및 예방

“이러한 공격에서 알 수 있듯이 Exchange 서버는 중요한 대상입니다. 이러한 공격은 또한 매우 회피적이고 파일이없는 기술을 사용하는 고급 위협 인 경향이 있습니다.”팀 유명한.

또한 공격자는 Microsoft Defender Antivirus, 보관 검색 및 자동 업데이트와 같은 보안 도구를 사용 중지하여 스텔스를 높이려고합니다.

가능한 한 최선을 다하는 것 외에도 최신 보안 업데이트를 제공하는 즉시 구현하십시오. 관리자는 다음을 권장합니다.

• 취약성, 구성 오류 및 의심스러운 활동에 대해 정기적으로 MS Exchange 서버 감사
• 비정상적인 사용자 (예 : 의심스러운 추가)에 대해 중요한 권한을 가진 그룹 및 중요한 역할을하는 사용자 목록을 정기적으로 검토하십시오.
• 최소 권한의 원칙을 연습하고 자격 증명 위생을 유지하며 다단계 인증을 활성화합니다.

또한 Microsoft는 Exchange 서버에 보호 기능을 추가하고 자격 증명 도난 및 PsExec 및 WMI의 의심스러운 사용과 같은 동작을 자동으로 차단하고 공격자가 보안 서비스를 무단 변경하는 것을 방지하고 경고의 우선 순위를 지정하는 수단으로 Microsoft Defender Advanced Threat Protection 보안 플랫폼을 자연스럽게 선전했습니다. 공격은 많은 피해를주기 전에 발견됩니다.

출처 : https://www.helpnetsecurity.com/2020/06/25/target-microsoft-exchange-servers/