Microsoft Exchange服务器被新的LockFile勒索软件入侵

中科天齐软件源代码安全检测中心

共 2387字,需浏览 5分钟

 ·

2021-08-24 10:55

在利用最近披露的ProxyShell漏洞入侵Microsoft Exchange服务器后,一个名为LockFile的新的勒索软件团伙对Windows域进行加密。

ProxyShell是由三个连锁Microsoft Exchange漏洞组成攻击的名称,这些漏洞导致未经身份验证的远程代码执行。

Devcore首席安全研究员Orange Tsai在今年4月份Pwn2Own 2021黑客大赛中发现它们,将它们链接在一起以接管Microsoft Exchange 服务器 。

CVE-2021-34473 - 预身份验证路径混淆导致ACL绕过(KB5001779于4月修补)

CVE-2021-34523 - Exchange PowerShell后端的特权提升(KB5001779于4月修补)

CVE-2021-31207 - 授权后任意文件写入导致 RCE(KB5003435于5月修补)

虽然微软在2021年5月完全修补了这些漏洞,但最近披露了更多的技术细节,允许安全研究人员和威胁参与者复制该漏洞。

据BleepingComputer上周报道,这导致攻击者积极使用ProxyShell漏洞扫描并攻击微软Exchange服务器。在利用Exchange服务器后,攻击者投放了可用于上传其他程序并执行它们的web shell。

NCC Group的漏洞研究员 Rich Warren称,Web shell被用于安装 .NET 后门,该后门下载了无害的有效负载。

此后,一种名为LockFile的新勒索软件操作使用Microsoft Exchange ProxyShell和 Windows PetitPotam漏洞来接管Windows域并加密设备。

在破坏网络时,攻击者将首先使用ProxyShell漏洞访问内部部署的Microsoft Exchange服务器。赛门铁克表示,一旦他们站稳脚跟,LockFile 团伙就会使用 PetitPotam漏洞来接管域控制器,从而接管Windows域。


关于LockFile勒索软件


目前,关于新的LockFile勒索软件操作还不太清楚。

今年7月首次看到这封勒索信时,它的名字是“LOCKFILE-README”。Hta ',但没有任何特定的品牌,如下所示。

从上周开始,BleepingComputer开始收到勒索软件团伙的报告,该团伙使用带有标记的勒索笔记,表明它们被称为“LockFile”,如下所示。


tlQG9k1sAB.jpg


这些赎金票据使用“[victim_name]-LOCKFILE-README.hta”的命名格式,并提示受害者通过Tox或电子邮件与他们联系以协商赎金。该操作使用的当前电子邮件地址是contact@contipauper.com,这似乎参考了Conti勒索软件的操作。当加密文件时,勒索软件将附加.lockfile扩展名到加密文件的名称。


i2qlE7aPHr.png


超过30,400台Exchange服务器易受攻击


尽管微软在今年5月和7月修补了这三个漏洞。但就像今年3月和4月披露的 ProxyLogon和ProxyOracle一样,并非所有服务器管理员都及时修补易受攻击的系统。

在ProxyShell概念验证代码发布两天后,ISC SANS于8月8日进行一次扫描,发现总共 100,000个系统中的30,400多台Exchange服务器尚未修补,并且仍然容易受到攻击。

尽快打补丁

由于LockFile操作同时使用Microsoft Exchange ProxyShell漏洞和Windows PetitPotam NTLM Relay漏洞,因此Windows管理员必须安装最新的更新。

对于ProxyShell漏洞,您可以安装最新的Microsoft Exchange累积更新来修补该漏洞。

要修补PetitPotam攻击,你可以使用一个非官方的补丁从0patch来阻止这个NTLM中继攻击向量,或者应用NETSH RPC过滤器来阻止对MS-EFSRPC API中脆弱函数的访问。

Beaumont表示可以执行以下Azure Sentinel查询来检查Microsoft Exchange服务器是否已扫描ProxyShell漏洞。

W3CIISLog

| where csUriStem == "/autodiscover/autodiscover.json"

| where csUriQuery has "PowerShell" | where csMethod == "POST"

强烈建议所有组织尽快应用补丁并为其Exchange服务器创建脱机备份。


启示


美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致,由此可见软件中漏洞为网络安全带来极大危害。从以上可以看出,尽管软件开发公司已针对漏洞及时发布补丁,但未进行修正的企业仍旧大量存在,网络安全与漏洞之间存在一场较量,谨慎预防网络攻击的公司成为最后赢家。随着敏捷开发盛行软件开发周期逐渐缩短,面对潜藏的网络攻击者和恶意软件,软件安全需置于开发首位。调查显示,超过六成的安全漏洞与代码有关,而通过静态代码检测可以减少30-70%的安全漏洞,结合SCA、动态应用安全测试等方式,在软件开发期间确保软件安全,不但为网络安全打好基础,也将企业修复漏洞成本降至最低。


参读链接:

https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/

浏览 43
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报