Tras el comunicado de Microsoft sobre una grave vulnerabilidad presente en su producto Exchange, el equipo de Sophos ha podido detectar numerosos ataques a servidores Exchange con una variedad de exploits y malware, desde simples webshells a muestras de ransomware. En su estudio, el equipo de SophosLabs ha podido observar a un atacante desconocido que ha estado intentando aprovechar lo que se conoce como ProxyLogon, un exploit que le ha permitido instalar un minero de Monero en el servidor.

El ataque comienza con un comando en PowerShell que obtiene el fichero ‘win_r.zip’ desde otro servidor comprometido (a través del path ‘/owa/auth’ del acceso web de Outlook).

El .zip es en realidad un script BAT que invoca al ejecutable ‘certutil.exe’ incluido en Windows por defecto, para descargar otros dos ficheros adicionales: win_s.zip y win_d.zip. Ninguno de los cuales son realmente ficheros ZIP.

El primer fichero es escrito al sistema como ‘QuickCPU.b64’. Es el payload codificado en base64 de una manera especial: incluyendo al principio y al final las cabeceras típicas de un certificado digital.

De esta manera el payload puede ser descifrado usando la utilidad ‘certutil.exe’:

certutil.exe -decode QuickCPU.b64 QuickCPU.exe

Una vez descifrado y ejecutado, se extrae el minero y su configuración y se inyecta en los procesos del sistema, eliminando posteriormente el resto de evidencias. Para ello, el ejecutable contiene una versión modificada de una herramienta llamada ‘PEx64-Injector ‘, disponible en Github. Esta utilidad permite migrar cualquier ejecutable x64 a un proceso x64, sin privilegios de administrador.

El binario que se ejecuta está además marcado como «componente de Windows» y, aunque no está firmado puede valer para pasar desapercibido al ojo inexperto, ya que comparte nombre con otra utilidad legítima del sistema.

El minero instalado es el programa ‘xmr-stak’ y se configura para asegurar la conexión entre el minero y la cartera de Monero mediante conexión cifrada TLS.

Por otro lado, el fichero de configuración ‘pools.txt’ del minero, contiene información interesante sobre el atacante: la dirección de su cartera, su contraseña y el nombre que el atacante ha configurado para dicho minero.

De acuerdo con la blockchain de Monero, la cartera empezó a recibir fracciones de la moneda a partir del 9 de marzo (coincidiendo con el Patch Tuesday de Microsoft). Desde entonces, a medida que los administradores de sistemas han ido parcheando, el atacante ha perdido muchos de los servidores.

Sohpos ha compartido algunos indicadores de compromiso para detectar estos ejecutables maliciosos, denominados como ‘Mal/Inject-GV’ y ‘XMR-Stak Miner (PUA)’.

Desde Hispasec recomendamos a todos los usuarios de Microsoft Exchange actualizar cuanto antes a la última versión disponible. Así como comprobar el listado de indicadores para descartar un posible ataque.

Más información:

Compromised Exchange server hosting cryptojacker targeting other Exchange servers
https://news.sophos.com/en-us/2021/04/13/compromised-exchange-server-hosting-cryptojacker-targeting-other-exchange-servers/