美國網(wǎng)絡安全和基礎設施安全局(CISA)承認，它正在向幾個聯(lián)邦機構提供支持，這些機構在Progress(前身為IpSwitch)MOVEit傳輸解決方案中暴露出漏洞后被攻破。根據(jù)CISA發(fā)布的一份警報和網(wǎng)絡安全公告，CL0P勒索軟件團伙一直在積極利用漏洞進行數(shù)據(jù)外泄，并在目標計算機上執(zhí)行遠程命令。

我們對MOVEit傳輸漏洞的了解

Progress security于2023年5月31日首次披露，確認了三個關鍵漏洞(CVE-2023-34362、CVE-2023-35036、CVE-2023-35708)，這些漏洞可使威脅行為者獲得升級的特權和對環(huán)境的未授權訪問。在他們的建議中，進度描述了所有MOVEit客戶應該部署的立即步驟，以修復該漏洞。

CISA的一項技術分析顯示，CL0P小組于2023年5月開始利用SQL注入漏洞，在MOVEit服務器上安裝名為LEMURLOOT的Web shell，刪除名稱為‘human2.aspx’，后來更名為‘human.aspx’(VirusTotal)。WebShell是專門針對MOVEit平臺設計的，它是一個工具包，包括多種操作功能，包括下載文件，以及執(zhí)行和操作Azure系統(tǒng)設置，包括創(chuàng)建管理員用戶。

該漏洞的影響是廣泛的。MOVEit Transfer是一種流行的目標管理文件傳輸(MFT)解決方案，主要在美國的數(shù)千家企業(yè)中使用，包括政府機構、銀行、軟件供應商和其他組織。包括殼牌、佐治亞州大學系統(tǒng)、英國廣播公司和英國航空公司在內的受害者開始收到贖金紙條，以防止公布泄露的數(shù)據(jù)。

目標管理文件傳輸（MFT）解決方案

管理文件傳輸解決方案和安全MFT (sMFT)用于保護和自動化跨組織和組織之間的數(shù)據(jù)和文件傳輸。這些解決方案通常由大型組織部署，以實現(xiàn)敏感信息的安全共享，通常將面向公眾的接口與存儲在內部和敏感網(wǎng)絡中的內容連接起來。

俄羅斯的CL0P (Clop)黑客組織(TA505)據(jù)稱利用了其他MFT解決方案中的漏洞，包括Acellion在2020年和2021年推出的FTA，以及Fortra在2023年早些時候推出的GoAnywhere MFT解決方案(CVE-2023-0669)。

MFT解決方案是威脅行為者的誘人目標。破壞它們可以讓我們獲得本應由解決方案保護的信息;實現(xiàn)對目標機器的控制，可以訪問受保護的受害者網(wǎng)絡。

這使得像CL0P這樣的威脅行為者可以采用“雙重勒索”戰(zhàn)術，允許數(shù)據(jù)竊取和勒索軟件使用所實現(xiàn)的控制在目標機器上執(zhí)行。

被利用的漏洞可以作為威脅參與者執(zhí)行攻擊后期階段的入口。一旦初始階段完成，攻擊者就會建立C2通信，允許他們丟棄有效載荷以執(zhí)行后續(xù)階段。在之前的事件中，人們觀察到CL0P使用了Truebot，該機器人隨后下載了Cobalt Strike和FlawedGrace信標。

雖然攻擊的初始階段利用新的漏洞，但下一階段使用規(guī)避和內存技術丟棄惡意有效載荷，以繞過駐留端點保護解決方案的檢測。

建議的行動

立即的緩解措施包括應用安全補丁并遵循Progress (MOVEit)發(fā)布的說明，以及更新CISA發(fā)布的IOC。

MOVEit推薦

查看進度安全中心頁面，更新MOVEit轉移和MOVEit云漏洞。

直到應用安全補丁(es) -禁用所有HTTP和HTTPs流量到您的MOVEit傳輸環(huán)境，具體如下:?修改防火墻規(guī)則，拒絕HTTP和HTTPs流量到MOVEit傳輸?端口80和443。

查看MOVEit和系統(tǒng)審計日志，查看意外行為，刪除未經授權的文件(human2.aspx’,’human.aspx’)并移除未經授權的用戶賬戶，詳情請見Forescout.com

應用推薦的安全補丁，恢復HTTP/HTTPs流量。

虹科摩菲斯如何提供幫助

虹科摩菲斯的產品具有以下功能，可幫助防范潛在的攻擊和惡意負載：

1

虹科摩菲斯漏洞可見性和優(yōu)先級

虹科摩菲斯的漏洞可見性和優(yōu)先級可提供基于風險和使用情況的漏洞優(yōu)先級。在這種情況下，虹科摩菲斯幫助識別使用具有已知漏洞的應用程序的組織，并根據(jù)實際使用情況和基于已知漏洞利用的信息來確定風險的優(yōu)先級。這使組織能夠迅速采取行動，應用關鍵安全補丁。

2

使用規(guī)避和內存技術防止惡意有效載荷

在諸如MOVEit利用等攻擊的情況下，組織必須保護自己免受后期階段的攻擊，以及能夠逃避基于檢測的技術提供的保護機制的攻擊。自動移動目標防御(AMTD)是必要的縱深防御層，因為它可以在不事先知道的情況下阻止威脅，也不需要依賴簽名、IOC和行為模式。

默認情況下，虹科摩菲斯保護在IIS Web服務器下運行的IIS Web服務和MOVEit DMZ組件。如果WebShell執(zhí)行導致后門(如CobaltStrike、Metasploit)訪問系統(tǒng)，虹科摩菲斯的AMTD將提供保護，因為這些后門框架完全無文件，并采用旨在繞過端點保護解決方案檢測的規(guī)避技術。虹科摩菲斯專注于通過利用AMTD技術的真正預防能力，在攻擊鏈的早期禁用該框架。

3

虹科摩菲斯阻止了以下相關攻擊：

代碼和內存開發(fā)技術是最常見的十種MITRE ATT&CK技術之一。AMTD通過變形內存和其他系統(tǒng)資源來降低這種風險，使它們基本上對針對它們的威脅不可見。作為深度防御安全態(tài)勢的一層，AMTD可阻止零日、無文件和內存中的攻擊，為終端、服務器和工作負載保護提供真正的深度防御，對性能的影響微乎其微，不需要額外的人員編制。

【了解更多】

虹科摩菲斯受到5,000多家公司的信任，每天可阻止針對Windows和Linux設備上900多萬個受保護終端、服務器和工作負載的30,000多次攻擊。要了解更多關于這項技術的信息以及為什么Gartner將AMTD稱為“網(wǎng)絡的未來”，請閱讀我們的白皮書“零信任+移動目標防御：終極勒索軟件戰(zhàn)略”。

·今日推薦·

//虹科數(shù)據(jù)加密解決方案//

虹科終端安全解決方案，針對最高級的威脅提供了以預防為優(yōu)先的安全，阻止從終端到云的其他攻擊。虹科摩菲斯以自動移動目標防御(AMTD)技術為支持。AMTD是一項提高網(wǎng)絡防御水平并改變游戲規(guī)則的新興技術，能夠阻止勒索軟件、供應鏈攻擊、零日攻擊、無文件攻擊和其他高級攻擊。Gartner研究表明，AMTD是網(wǎng)絡的未來，其提供了超輕量級深度防御安全層，以增強NGAV、EPP和EDR/XDR等解決方案。我們在不影響性能或不需要額外工作人員的情況下，針對無法檢測的網(wǎng)絡攻擊縮小他們的運行時內存安全漏洞。超過5,000家組織信任摩菲斯來保護900萬臺Windows和Linux服務器、工作負載和終端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民醫(yī)療中心等數(shù)千次高級攻擊。
虹科摩菲斯的自動移動目標防御ATMD做到了什么？
1、主動進行預防(簽名、規(guī)則、IOCs/IOA)；
2、主動自動防御運行時內存攻擊、防御規(guī)避、憑據(jù)盜竊、勒索軟件；
3、在執(zhí)行時立即阻止惡意軟件；
4、為舊版本操作系統(tǒng)提供全面保護；
5、可以忽略不計的性能影響(CPU/RAM)；
6、無誤報，通過確定警報優(yōu)先級來減少分析人員/SOC的工作量。