‫ثغرة البريد االلكتروني‬

Proxy Logon Vulnerability

Analysis and Detection [ARABIC]

1
‫‪Proxy_Logon Vulnerability:‬‬

‫ماهي الثغرة ؟‬
‫في شهر مارس من عام ‪ 2021‬تم اكتشاف ثغرة جديدة من ضمن ثغرات الـ "‪ "Zero-Day‬وتم تصنيفها لثغرة حرجه وتم تسميتها بـ‬
‫"‪ "ProxyLogon‬في الحقيقة لم تكن فقط واحده بل ‪ 4‬ثغرات معا‪ .‬وتم اعطهاءها االسماء التالية‬

‫(‪.)CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 and CVE-2021-27065‬‬

‫أكتشفت مايكروسوفت ان االستغالل للثغرة كان خاص في ‪ .Microsoft Exchange‬نشرت مايكروسوفت تحديثات خاصه بالثغرة مع‬
‫التنوية ان االستغالل الزال نشط من خالل القروب المسمى بـ "‪. "HAFNIUM‬‬

‫معلومات عن كل ثغرات؟‬

‫اول ثغرة وهي خدمة المراسلة الموحدة (‪:)CVE-2021-26857‬‬

‫هي عبارة عن ثغرة أمنية اللغاء التسلسل في خدمة المراسلة‪ .‬حيث يتم الغاء التسلسل للبيانات بواسطة برنامج‪ .‬استغالل هذه الثغرة‬
‫سمحت لـ "‪ "HAFNIUM‬بإمكانية تشغيل الكود كـ ‪ SYSTEM‬على الـ ‪ .Exchange‬حيث هذا يتطلب صالحايات الـ‪Administrator‬‬
‫أو استغالل ثغرة اخرى‪.‬‬

‫الثغرة الثانية هي كتابة ملف اجباري (‪:)CVE-2021-26858‬‬

‫هي كتابة ملف اجباري مابعد المصادقة (‪ )Post-Authentication‬في الـ "‪ . "Exchange‬إذا كان بإمكان "‪ " HAFNIUM‬عمل‬
‫المصادقة باستخدام خادم الـ "‪ " Exchange‬ثم بعد ذلك يمكنهم استغالل هذه الثغرة االمنية لكتابة ملف الى اي مسار على الخادم‪ .‬يمكنهم‬
‫من المصادقة عن طريق استغالل الثغرة االمنية "‪ "CVE-2021-26855‬أو عن طريقة صالحيات تمت سرقتها تحمل صالحيات‬
‫المسؤول‪.‬‬

‫الثغرة الثالثة وهي تزوير طلب من جانب السيرفر ()‪:)CVE-2021-26855 SSRF(Server-Side Request Forgery‬‬

‫هي عبارة عن ثغرة امنية تعمل على طلبات مزورة من السيرفر تسمح للمهاجم بارسال عشوائي لطلبات ‪ HTTP‬مزورة و محاولة‬
‫المصادقة كأنة الـ "‪. "Exchange‬‬
‫سبب الثغرة المحتمل ‪:‬‬

‫تكمن المشكلة في المكتبة " ‪ ," Microsoft.Exchange.FrontEndHttpProxy.HttpProxy.dll‬هناك طريقة " ‪" CanHandle‬‬
‫من فئة "‪ , "BEResourceRequestHandler‬حيث وجدت أنها تحتاج أو تتطلب عنوان "‪ "URL‬مع بروتوكول "‪( "ECP‬على سبيل‬
‫المثال ‪ , )"\ecp" :‬ملف التعرف(‪ "X-BEResource" )Cookie‬ونهاية كل "‘ٌ‪ "URL‬تكون ثابته وهي (‪ .).js , css, flt‬بسبب ان الكود‬
‫تم تنفيذه في "‪ " HttpProxy‬فإن الـ "‪ " URL‬ال يحتاج الى تحقق‪ ,‬وهذا يشرح لنا الحقيقة ان بعض المؤشرات(‪ )IOCs‬ببساطة استخدمت‬
‫"‪ " /ecp/y.js‬غير موجودة‪.‬‬

‫‪2‬‬
 ‫بإختصار‪ ,‬يتم تعيين الـ"‪ "header‬وإرسال الطلبات الى ملف ثابت في "‪." /ecp‬‬

‫قامت الـ "‪ "APTs‬في اساءت استخدام هذا الضعف االمني لرفع الـ "‪."Webshells‬كما تم اساءت استخدامها لسرقة ايميالت المستخدمين‬
‫داخل البريد‪.‬‬
‫هنالك طريقتين ليتم سحب صندوق البريد من خالل هذه الثغرة ‪:‬‬

‫‪ -1‬خادم البريد الفردي (‪ : )Single Exchange Server‬وتتم هذه الطريقة من خالل معرفة المهاجم بالـ (‪ )SID‬الخاص بكل‬
‫مستخدم للوصول لبريده‪.‬‬
‫‪ -2‬خوادم البريد المتعددة (‪ :)Multiple Exchange Servers‬في هذه الحالة يتم تخزين الـ "‪ "configurations‬في سيرفرات‬
‫متعدده داخل )‪ Database Availability Group (DGA‬هنا في هذه الحالة المهاجم اليحتاج الى الـ(‪ )SID‬الخاص بكل‬
‫مستخدم للوصول لصندوق البريد‪ .‬فقط يتطلب منه معرفة عناوين االيميالت الخاصة بهم‪.‬‬

‫الثغرة الرابعة هي كتابة ملف اجباري (‪:)CVE-2021-27065‬‬

‫هي كتابة ملف اجباري مابعد المصادقة (‪ )Post-Authentication‬في الـ "‪ . "Exchange‬إذا كان بإمكان "‪ " HAFNIUM‬عمل‬
‫المصادقة باستخدام خادم الـ "‪ " Exchange‬ثم بعد ذلك يمكنهم استغالل هذه الثغرة االمنية لكتابة ملف الى اي مسار على الخادم‪ .‬يمكنهم‬
‫من المصادقة عن طريق استغالل الثغرة االمنية "‪ "CVE-2021-26855‬أو عن طريقة صالحيات تمت سرقتها تحمل صالحيات‬
‫المسؤول‪.‬‬

‫"اي هي مشابههة لثغرة ‪"CVE-2021-26858‬‬

‫سبب الثغرة المحتمل ‪:‬‬

‫المشكلة تكم في الـ”‪ " WriteFileActivity " ”Class‬داخل المكتبة "‬

‫‪ "Microsoft.Exchange.Management.ControlPanel.DIService.dll‬التي وظيفتها هي كتابة الملف الخاص بالمستخدم‬
‫المتحكم به على القرص مباشرة‪.‬‬

‫‪Figure 1:Code snippet from ResetOABVirtualDirectory.xaml‬‬

‫يقوم بتسليم نموذج طلب(‪ )request‬الى "‪ " ResetVirtualDirectory‬ويقوم بجعل الـ "‪ " Exchange‬بكتابة الـ"‪VirtualDirectory‬‬
‫" الخاصة بالـ "‪ " VirtualDirectory‬الى المسار المحدد ‪ ,‬ويقوم بحذف الـ "‪ "Configurations‬واعادة انشاءة‪ .‬وتحتوي هذه الـ"‬
‫‪ " Configurations‬على العديد من الخصائص من الـ"‪ " Directory‬ويمكن كتابتها في اي مجلد داخل النظام باي امتداد‪.‬‬

‫‪3‬‬
‫‪Investigation‬‬
‫هذا ليس تحقيق نهائي ولكنه يفي بالغرض مؤقتا‪:‬‬

‫خطوات التحقيق االولي(‪: )Initial steps‬‬

‫نبحث داخل الـ "‪ " Exchange‬عن التالي ‪:‬‬

‫‪ -1‬اي ملف تم انشاءه من تاريخ ‪ 2021-01-01‬في كل الـ "‪ "Public facing folder‬مع التركيز على االمتدادات التالية‬
‫(‪.).aspx ,ashx, asp, axd, jnlp, js, jsp, php, dll‬‬
‫‪ -2‬نقوم بتشغل السكربت الذي اعلنت عنه مايكروسوفت ‪ TestProxyLogon.ps1‬للتحقق من وجود الثغرة‪.‬‬

‫هناك مجموعه من المؤشرات التي يجب التأكد منها وهي كالتالي ‪:‬‬

‫مؤشرات نشاط الشبكة (‪:)Network Activity‬‬ ‫‪‬‬

‫‪ ‬هل يوجد اي اتصال من ‪ C2‬دومين او ‪ IP‬معروف ؟‬
‫‪ ‬هل السيرفر متصل في اي ‪ DNS sinkhole IP address‬؟‬
‫‪ ‬مراقبة السيرفرات لعمليات تسجيل الدخول من األنظمة التي ال ينبغي فيها الحصول على المصادقة (على سبيل المثال ‪،‬‬
‫من المحتمل أال يُسمح بعمليات تسجيل الدخول التفاعلية مثل الوصول إلى ‪ RDP‬من العديد من األجهزة الموجودة على‬
‫الشبكة)‪.‬‬
‫‪ ‬مراقبة الشبكة للملفات الكبير ‪ ،‬ثم ربط الملف الذي تم العثور عليه مع سجالت ‪ IIS‬بـ البحث عن الدليل الظاهري‬
‫الحتمالية وجود عملية ‪.Exfiltration‬‬

‫مؤشرات نشاط االجهزة (‪:)Endpoint Activity‬‬ ‫‪‬‬

‫‪ ‬هل هناك أي مؤشر على وجود نشاط مشبوه على خوادم ‪Exchange‬؟‬
‫‪ ‬هل هناك أي ‪ ASEPs‬مشبوهة على الخوادم أو برامج الوصول عن بعد؟‬
‫‪ ‬هل تمت إضافة أو إعادة تمكين أي حسابات على خوادم ‪ Exchange‬أو أي أنظمة أو تطبيقات؟‬
‫‪ ‬هذا عبارة عن سكربت للتحقق من المستخدمين المضافين من آخر ‪( .Exchange 0Day‬غيّر ‪ 7‬إلى عدد االيام‬
‫التي تحتاجها او من بداية اكتشاف الثغرة)‬

‫)‪$compdate=(get-date).adddays(-7‬‬
‫‪#Get-ADUser -filter * -property whenCreated | where {$_.whenCreated -gt $compdate} | ft Name,‬‬
‫‪whenCreated -Autosize‬‬

‫نحذف حساب المسؤول من مجموعة "مسؤولي ‪."Exchange‬‬ ‫‪‬‬

‫هل لديك برنامج أمان (مضاد للفيروسات ‪ ،‬واكتشاف نقطة النهاية واالستجابة )‪ )(EDR‬اكتشقت من خالله أي شيء‬ ‫‪‬‬
‫مشبوه نشاط أو برامج ضارة على األنظمة؟‬
‫تحقق من استخدام األدوات اإلضافية لـ ‪ Exchange PowerShell‬لتصدير بيانات صندوق البريد‪.‬‬ ‫‪‬‬

‫‪4‬‬
 ‫نقوم بالبحث عن الوصول إلى صندوق البريد باستخدام ‪( Powershell CmdLets‬مثل ‪New-‬‬ ‫‪‬‬
‫‪.)MailboxExportRequest‬‬
‫تحقق من أي عالمة على الـ ‪ Exfiltration‬للـ ‪ Exchange‬غير المتصل من األنظمة المخترقة‪.‬‬ ‫‪‬‬
‫مراقبة العمليات التي تكون مشغله بواسطة احد العمليات التالية (" "‪ )""powershell.exe ،cmd.exe‬لخادم ويب‬ ‫‪‬‬
‫‪ Exchange IIS‬عملية "‪."w3wp.exe‬‬
‫الملفات المكتوبة بواسطة "‪ "w3wp.exe‬أو بواسطة )‪Microsoft Exchange Server Unified Messaging (UM‬‬ ‫‪‬‬
‫“‪.”UMWorkerProcess.exe‬‬
‫أي ملفات "‪ "compile‬جديدة لملفات "‪ "ASPX‬أو "‪."DLL‬‬ ‫‪‬‬
‫ومن األمور الواعدة أيضًا البحث عن األدوات التالية المعروفة بأنها تستخدمها هذه المجموعات المهاجمين‬ ‫‪‬‬
‫(ولكن ربما تم استخدامها بشكل شرعي من قبل فريقهم ‪ -‬خاصة في حالة ‪:)psexec‬‬ ‫‪‬‬
‫▪ ‪ psexec‬و ‪ procdump‬من ‪.SysInternals Tool Suite‬‬
‫▪ ‪ WinRAR‬الستخراج البيانات المسروقة ‪،‬‬
‫▪ عمليات الـ ‪.Powershell‬‬
‫▪ صفحات الويب ‪ ASPx‬و ‪ .PHP‬بشكل عام ‪ ،‬ومع ذلك ‪ ،‬يمكنك إلقاء نظرة على الملفات التي تم تحميلها‬
‫حول الفترة الزمنية وتحقق منها‪.‬‬
‫▪ أدوات من ‪.Nishang Tool Suite Github‬‬
‫▪ ‪ netcat powercat‬في ‪.Github :Powershell‬‬
‫غالبًا ما يتم إساءة استخدام أدوات مساعدة ‪ Windows‬المعروفة لتفريغ ذاكرة ‪ LSASS‬أو ‪Active Directory‬‬ ‫‪‬‬
‫قاعدة بيانات "‪."NTDS.dit‬‬

‫مؤشرات نشاط المستخدمين (‪:)User Activity‬‬ ‫‪‬‬

‫‪ ‬ابحث عن نشاط غير عادي من خالل حساب ‪.Exchange‬‬
‫‪ ‬هل هنالك مصادقة للحسابات (ناجحة أو فاشلة) على أي أنظمة أو تطبيقات ال ينبغي أن تمتلكها؟‬
‫‪ ‬هل تلقت الحسابات محاوالت مصادقة (ناجحة أو فاشلة) من مواقع خارجية ‪ ،‬على وجه الخصوص أولئك الذين لم يقوموا‬
‫بتسجيل الدخول من قبل (على سبيل المثال ‪ ،‬على ‪)VPN‬؟‬
‫‪ ‬هل لديك محاوالت لحذف مستخدم مسؤول من مجموعة مسؤولي ‪Exchange‬؟‬
‫‪ ‬لتحديد االنحرافات الخاصة بـ ‪ ، Exchange‬راجع قائمة المستخدمين في األدوار الحساسة مثل صندوق البريد‬
‫استيراد‪/‬التصدير وإدارة المؤسسة باستخدام األمر ‪ Get-ManagementRoleAssignment‬من خالل الـ‬
‫‪Powershell‬‬

‫االدلة (‪:)Artifacts‬‬ ‫‪‬‬

‫‪ ‬ابحث عن المراجع مثل السالسل المذكورة أدناه أو المتغيرات منها‪:‬‬
‫= '‪S: CMD = Set-OabVirtualDirectory.ExternalUrl.‬‬
‫‪ ‬ابحث عن قواعد إعادة توجيه البريد اإللكتروني الشاملة وغير المصرح بها والتي تم تكوينها على بوابة البريد اإللكتروني‬
‫األجهزة‪.‬‬
‫‪ ‬ابحث عن األوامر اإلدارية المشبوهة وحاالت ‪ ActiveSync‬الشاذة في ‪ Exchange‬بالمنظمة‪ .‬نفذ المهاجم أوامر‬
‫لتصدير بريد إلكتروني لمستخدمين محددين في المؤسسة ‪ ،‬وبعد ذلك سرق البيانات عبر خادم ‪Outlook Web‬‬
‫)‪ Anywhere (OWA‬الخاص بالمؤسسة‪.‬‬
‫‪ ‬راجع سجالت الويب التاريخية من أجهزة مثل خادم ‪ Exchange‬الداخلي للبحث عن عالمات الوصول للـ ‪WebShell‬‬
‫أو تنزيل الملفات التي ال يتم الوصول إليها عادة ً‪.‬‬
‫‪ ‬افحص خوادم البريد المحلية بحثًا عن عالمات طلبات تصدير صندوق البريد ‪ ،‬والحسابات ذات المفوضين‬
‫األذونات التي تتجاوز ما يجب السماح به ‪ ،‬أو عالمات على إعادة توجيه البريد اإللكتروني من الخارج إلى‬
‫المنظمة‪.‬‬

‫‪5‬‬
 :)CVE-2021-26855 SSRF( ‫ثغرة‬

:‫المجلد التالي‬/‫" تكون موجودة في المسار‬Logs" ‫جميع الـ‬ 

%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy

" AnchorMAilbox" ‫ " فارغ و‬AuthenticatedUser "‫" المدخلة عندما يكون الـ‬log" ‫الثغرة يمكن ايجادها من خالل الـ‬ 
. "ServerInfo~*/* "‫يحتوب على نمط من‬

‫ الواردة إلى الملفات الصالحة المرتبطة‬POST ‫ حيث أظهرت السجالت طلبات‬، "wild" ‫ الذي تم العثور عليه في‬URL ‫فيما يلي عنواوين‬

.Outlook Web Access (OWA) ‫مع الصور وجافا سكريبت وأوراق األنماط المتتالية والخطوط المستخدمة بواسطة‬
- /owa/auth/Current/themes/resources/logon.css
- /owa/auth/Current/themes/resources/
- /owa/auth/Current/themes/resources/owafont_ja.css
- /owa/auth/Current/themes/resources/lgnbotl.gif
- /owa/auth/Current/themes/resources/owafont_ko.css
- /owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot
- /owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf

Internet Information Services (IIS) Logs

: " CVE-2021-26855 " ‫" التي تشير الى نجاح الثغرة‬log" ‫هنا مثال بسيط من سجالت الـ‬

2021-03-15 12:20:23 172.16.109.131 GET /ecp/wye.js

&CorrelationID=<empty>;&cafeReqId=a0765bbd-86d0-43a7-b3b4-bb5a0ae437bb; 443 - 172.16.109.1

Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/88.0.4324.190+Safari/537.36 - 500 0 0 15

2021-03-15 12:20:23 172.16.109.131 POST /ecp/wye.js &CorrelationID=<empty>;&cafeReqId=2ad1e467-d04e-45f8-a76b-f83cea0402c6; 443 -

172.16.109.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+G ecko)+Chrome/88.0.4324.190+Safari/537.36 -
200 0 0 109

2021-03-15 12:20:23 fe80::7512:bf7e:5e12:f896%12 POST /autodiscover/autodiscover.xml

a=:444/ecp/wye.js&CorrelationID=<empty>;&cafeReqId=2ad1e467-d04e-45f8-a76bf83cea0402c6; 443 BAOOO\EXCHANGE-SERVER$
fe80::7512:bf7e:5e12:f896%12 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+G

:)CVE-2021-26858( ‫ثغرة كتابة ملف اجباري‬

: Windows Application event logs ‫يمكن اكتشاف االستغالل من خالل الـ‬ 

:‫) الى حفظ السجالت كالتالي‬deserialization ( ‫) سوف يؤدي عدم التسلسل‬bug( ‫ عند استغالل هذا الخلل‬
MSExchange Unified Messaging : ‫ المصدر‬o
Error : ‫ نوع الخطأ‬o
System.InvalidCastException : Event Message ‫ محتوى الـ‬o
Windows Application event ‫ الخاصة بالـ‬query ‫" من خالله نطلع كل الـ‬Powershell" ‫ وهنا سكربت‬
.logs

6
Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType

Error | Where-Object { $_.Message -like "*System.InvalidCastException*" } :)CVE-2021-26857( ‫ثغرة وهي خدمة المراسلة الموحدة‬

.‫هي عادية ولكن في نفس الوقت خطيرة جدا للسيرفر النها ببساطة تقوم في انشاء ملف قابل للتشغيل‬

)Windows Event log( ‫حتى نتمكن من التحقق في حالة اساءة استخدام هذه الثغرة نتحقق من سجل احداث الويندوز‬

Event=4663 ‫" عن الـ‬Security Event" ‫ونبحث في الـ‬

:)CVE-2021-27065( ‫الثغرة الرابعة هي كتابة ملف اجباري‬

:IOCs ‫ عن‬ECP ‫ ابحث في سجالت‬، "Remote Code Execution" ‫لتحديد النشاط المحتمل المتعلق باستغالل‬

Select-String -Path "$env:PROGRAMFILES\Microsoft\ExchangeServer\V15\Logging\ECP\Server\*.log" `- Pattern 'Set-.+VirtualDirectory'

.‫ على سكربت مطلقًا‬Set- <AppName> VirtualDirectory ‫يجب أال تحتوي كافة خصائص‬

.Uris ‫ تكون صالحة فقط‬ExternalUrl ‫ و‬InternalUrl ‫يجب أن يكون‬

."“<exchange install path>\Logging\ECP\Server\” " ‫“ داخل هذا المسار‬Logs” ‫ تخزن الـ‬ECP ‫عادة سيرفرات‬

Internet Information Services (IIS) Logs

: " CVE-2021-26855 " ‫" التي تشير الى نجاح الثغرة‬log" ‫هنا مثال بسيط من سجالت الـ‬

2021-03-15 13:51:44 172.16.109.131 POST /ecp/DDI/DDIService.svc/SetObject ActivityCorrelationID=db30830e-007e-10ca-

f79c75afc8740eb4&schema=OABVirtualDirectory&msExchEcpCanary=usDM1lKXIU6J3aIghW6XN5BIxUu359gIfWFx7m4qPlMZPDJAb6Y
wnXpdhIz5pXeUC26ZKWPyTuE.&CorrelationID=<empty>;&cafeReqId=cc8cc617-58a3-45e4-972f-de892edf2ca3; 443
baooo\administrator 172.16.109.1 Mozilla/5.0+(X11;+Ubuntu;+Linux+x86_64;+rv:86.0)+Gecko/20100101+Firefox/86.0
https://172.16.109.131/ecp/VDirMgmt/EditOABVDir.aspx?pwmcid=5&ReturnObjectType=1&id=88aa9437-0037-4ffb-a8c9-
bd0d9a70065d 200 0 0 1140

2021-03-15 13:55:56 172.16.109.131 POST /ecp/DDI/DDIService.svc/SetObject ActivityCorrelationID=3612b07c-8a48-e18e-e67c-

8194ed05979e&schema=ResetOABVirtualDirectory&msExchEcpCanary=usDM1lKXIU6J3aIghW6XN5BIxUu359gIfWFx7m4qPlMZPDJAb6
YwnXpdhIz5pXeUC26ZKWPyTuE.&CorrelationID=<empty>;&cafeReqId=32126c0d-f9c9-4a96-aa92-5dab4c389de0; 443
baooo\administrator 172.16.109.1 Mozilla/5.0+(X11;+Ubuntu;+Linux+x86_64;+rv:86.0)+Gecko/20100101+Firefox/86.0
https://172.16.109.131/ecp/VDirMgmt/ResetVirtualDirectory.aspx?pwmcid=10&Return ObjectType=1&id=88aa9437-0037-4ffb-a8c9-

bd0d9a70065d&schema=ResetOABVirtualDirectory 200 0

‫` الظاهري الدليل الذي يؤدي إلى كتابة‬OAB `‫` وإعادة تعيين‬OAB` ‫" للـ‬Configurations"‫ أعاله عملية تغيير الـ‬IIS ‫تُظهر سجالت‬
. ‫ملف اجباري‬

: ‫" مع تفاصيل زياده شوي من خالل المسار التالي‬path"‫" في الـ‬logs" ‫ممكن تالقي نفس الـ‬

7
C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy

Analyze your Log Files

‫ عادة المخترق اليكلفون على انفسهم عناء اخفاء ملف الـ‬. Exchange IIS ‫ الموجودة داخل الـ‬logs ‫من االساليب الجيدة التحقق من الـ‬
.)IOCs( ‫ ممكن يكون مؤشر جيد لالختراق‬Script ‫ جديد او ينتمي الى‬User-Agent ‫ ولذلك أي‬User-Agent

User-Agent ‫ يرجى مالحظة أن‬.‫ " الغير عاديين الذين ظهروا فقط بعد نشر الثغرة‬User-Agent" ‫ابحث عن‬ 
.‫ المشبوهة‬URL ‫ لعناوين‬POST ‫ لذا ادمج البحث مع طلبات‬، ‫هؤالء يمكن أن يكونوا أيضًا شرعيين‬
‫" التي لم يتم الوصول لها قبل نشر الثغرة االمنية ( احتمالية‬.aspx"‫قم بالبحث داخل ملفات السجالت عن ملفات الـ‬ 
.Webshells ‫تكون هي الـ‬
‫ من الممكن ان‬.forensics artifacts ‫) الى ملفات تم ايجادها خالل عملية الـ‬requests(‫أبحث عن الطلبات‬ 
.‫تعطينا تلميح اذا كان هنالك اي عملية اختراق نشطة بعد االختراق االولي‬
lateral ‫ وابحث عن اي عالمة الي عملية‬Active Directory ‫خذلك نظرة قريبه من السجالت الخاصة في الـ‬ 
.movement
‫" أو‬MimiKatz" ‫طرد الداة مثل‬/‫ الي مدخل مشبوه به مثل عملية حجب‬Anti-virus ‫نطلع ايضا على سجالت الـ‬ 
.‫اي اداة اختراق اخرى‬
.‫ للخارج‬Exchange ‫) من الـ‬Outbound( ‫) تكون صادرة‬RDP(‫راقب اي عملية اتصاالت‬ 
: ‫أبحث عن أي من الروابط التي تحتوي على هذه الجمل‬ 
S:CMD=Set- OabVirtualDirectory.ExternalUrl='.

Web Log User-Agents

DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)
facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)
Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)
Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html
Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)
Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)
Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Saf
ari/537.36
Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)
ExchangeServicesClient/0.0.0.0
python-requests/2.19.1
python-requests/2.25.1

WebShell Indictors
C:\inetpub\wwwroot\aspnet_client\
C:\inetpub\wwwroot\aspnet_client\system_web
\<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (any file besides TimeoutLogoff.aspx)
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (any file or modified file that is not part of a
standard install)
%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
C:\Exchange\FrontEnd\HttpProxy\owa\auth\

8
‫‪Containment‬‬
‫االن سوف نتكلم عن عملية االحتواء في حالة الـ ‪Incident‬‬

‫اعزل خوادم ‪ Exchange‬التي تم اختراقها حتى ال تتمكن من االتصال بأي خوادم أخرى شبكة أو نظام‪.‬‬ ‫‪‬‬
‫حدد الحسابات التي تم استخدامها على الجهاز المخترق واعتبر هذه الحسابات مخترقة‪ .‬قم بإعادة تعيين كلمات المرور أو‬ ‫‪‬‬
‫إيقاف الحسابات‪.‬‬
‫قم بحظر اتصال الشبكة بمجاالت ‪ C2‬المعروفة وعناوين ‪ IP‬لجميع األنظمة‪.‬‬ ‫‪‬‬
‫قم بحظر الوصول إلى اإلنترنت لخوادم ‪ Exchange‬مؤقتا‪.‬‬ ‫‪‬‬
‫قم بالتحقيق من كيف تأثرت االجهزة‪.‬‬ ‫‪‬‬
‫قم بالتحقيق من الجدول الزمني(‪ )timeline‬للجهاز للحصول على مؤشرات(‪ )IOCs‬الي انشطة خاصة في‬ ‫‪‬‬
‫الـ ‪ lateral movement‬باستخدام أحد الحسابات المخترقة‪ .‬تحقق من األدوات اإلضافية التي ربما قام المخترق في‬
‫أسقطها لتمكينه من الوصول إلى بيانات االعتماد (‪ )credentials‬والحركة الجانبية (‪ )lateral movement‬وأنشطة‬
‫الهجوم األخرى‪.‬‬

‫‪Eradication‬‬
‫االن سوف نتكلم عن عملية االستئصال في حالة الـ ‪ Incident‬التي تصنف بعد عملية االحتواء ولكن بسبب اختالف عمليات االختراق‬
‫تعتبر هذه العملية ليست اساسيه‬
‫تأكد من تحديث جميع منتجات الحماية وتشغيلها‪ .‬في حين أن االستغالل نفسه قد ال يكون لديه عدد كبير من ‪ IoCs‬المنشورة‬ ‫‪‬‬
‫على محركات الكشف حتى اآلن ‪ ،‬يمكن أن يكون نشاط ما بعد االستغالل بسهولة تم الكشف عنها باستخدام األدوات الحديثة‪.‬‬
‫نسوي اعادة تهيئة لكل الـ ( ‪ )credentials‬التي من الممكن ان تكون متأثرة من االختراق وتأكد ان تكون الـ(‪)credentials‬‬ ‫‪‬‬
‫الجديدة التكون مشابهه للـ (‪ )credentials‬القديمة‪ .‬وأستخدم (‪ )credentials‬معقدة تحتوي على حرف وارقام ورموز لكل‬
‫الـ ‪. domain admins‬‬
‫تأكد من استخدام كلمات مرور مختلفة على جميع األجهزة ؛ استخدم حلول إدارة كلمات المرور حيثما أمكن ذلك‪.‬‬ ‫‪‬‬
‫مكن جميع برامج مكافحة الفايروسات او اي من الحلول االخرى‪.‬‬ ‫‪‬‬
‫قم بمراجعة المجموعات ذات الصالحيات العالية مثل المسؤولين ومستخدمي (‪ )RDP‬و (‪.)Enterprise admins‬‬ ‫‪‬‬
‫قم بعمل نسخة احتياطية لكل السيرفرات الحساس حتى ال تتضرر ويتوقف العمل‪.‬‬ ‫‪‬‬
‫قم بعمل ‪ compromise assessments‬سنويا‪.‬‬ ‫‪‬‬

‫‪Recommendations‬‬
‫تأكد من أن حسابات المستخدمين ذات الحقوق اإلدارية تتبع أفضل الممارسات‪.‬‬ ‫‪‬‬
‫التأكد من أن حسابات الخدمة ومديري الخدمة ذوي الحقوق اإلدارية يستخدمون أسرار إنتروبيا عالية ‪ ،‬مثل الشهادات المخزنة‬ ‫‪‬‬
‫بشكل آمن‪ .‬مراقبة التغييرات على األسرار المستخدمة لحسابات الخدمة والخدمة كجزء من برنامج مراقبة األمان الخاص بك‪.‬‬
‫مراقبة االستخدام الشاذ لحسابات الخدمة‪.‬‬
‫ال تعرض ‪ Exchange‬لإلنترنت مباشرة‪ .‬إما أن يكون أمامه ‪ WAF‬و ‪ /‬أو استخدم ‪ SMTP‬تصفية الوكيل أمام خوادم‬ ‫‪‬‬
‫‪.Exchange‬‬
‫لديك عملية تصحيح طارئة تسمح لك بإصالح بنيتك التحتية ‪ ،‬وخاصة العناصر التي يتعرضون بشكل مباشر لإلنترنت ‪ ،‬في‬ ‫‪‬‬
‫غضون فترة زمنية قصيرة جدًا (ساعات)‪.‬‬

‫‪9‬‬
 .‫ وابحث عن أنماط غير عادية‬SIEM ‫ واجمعها في‬، Exchange Server ‫راقب عن كثب جميع ملفات سجالت‬ 
.‫ للمستخدمين‬2multi-factor-authontcation ‫قم دائ ًما‬ 
.‫ بصالحيات عالية‬Exchange Server ‫استخدم شبكة إدارة مخصصة للوصول إلى‬ 
.‫ مركزيا وتحليلها على أساس منتظم‬AD ‫تسجيل جميع سجالت‬ 
.)‫ (اكتشاف نقطة النهاية واالستجابة لها‬EDR ‫قم بزيادة الرؤية على نقاط النهاية باستخدام أداة‬ 

: ‫المراجع‬
/https://threatpost.com/microsoft-exchange-servers-proxylogon-patching/165001

https://www.radware.com/security/ddos-threats-attacks/threat-advisories-attack-reports/proxy-logon

https://github.com/microsoft/CSS-Exchange/tree/main/Security

/https://www.praetorian.com/blog/reproducing-proxylogon-exploit

/https://blog.truesec.com/2021/03/07/exchange-zero-day-proxylogon-and-hafnium

10