新型勒索软件LockFile活跃，正积极攻击Microsoft Exchange

　　概述

　　近期，安全研究人员发现了一种针对 Microsoft Exchange 服务器的恶意软件，而且这款恶意软件甚至还可以执行 Windows 域加密。这款恶意软件名为 LockFile，本质上它是一款勒索软件，当前变种主要利用的是 ProxyShell 漏洞。

　　关于 LockFile 勒索软件

　　根据研究人员透露的信息，七月份出现了一份与 LockFile 勒索软件有关的勒索信息，这份勒索信息其名称已标识为“LOCKFILE-README.hta”，但并没有其他的明显标记了。而这个勒索软件团伙从上周开始改变了他们的策略，并开始使用带有 Logo 的勒索信息，并自称他们名为 LockFile。

　　“[victim_name]-LOCKFILE-README.hta”这种命名规范是网络犯罪分子在特定勒索信息中所采用的惯用命名约定，并在勒索信息中告知目标用户如何参与和进行赎金谈判。LockFile 勒索软件团伙使用的邮件地址如下：contact@contipauper.com。

　　我们可以看到，勒索信息中所采用的颜色样式和电子邮件地址名称与 Conti 勒索软件相似。尽管如此，从攻击策略和写作方法来看，LockFile 和 Conti 其实并无关联。

　　因为，LockFile 不仅显示出与 Conti 的相似性，而且还显示出了与 LockBit 勒索软件的相似性。

　　新型的 LockFile 勒索软件使用了“.lockfile”作为被加密文件的后缀名。

　　那么，LockFile 是如何使用 ProxyShell 漏洞的呢？根据赛门铁克的说法，网络犯罪分子可以利用 ProxySheel 漏洞访问 Microsoft Exchange 的内部部署服务器，并利用 PetitPotam 漏洞接管目标 Windows 域。

　　ProxyShell 到底是什么？

　　ProxyShell 实际上是由三个漏洞组成的，分为别 CVE-2021-34473、CVE-2021-34523和 CVE-2021-31207。前两个漏洞分别在 4 月份由 KB5*001779修复，最后一个漏洞在 5 月份由 KB5*003435修补。攻击者可以利用这些漏洞攻击 Microsoft Exchange，并在目标服务器上实现远程代码执行。

　　这三个漏洞所带来的危害如下：

　　通过这些漏洞，攻击者可以绕过 ACL 检测；

　　攻击者可以在 Exchange PowerShell 后端实现提权；

　　攻击者可以在目标设备上实现任意代码执行；

　　通过利用这些 ProxyShell 漏洞，攻击者能够扫描并攻击 Microsoft Exchange 服务器，并在目标服务器上投放 Web Shell，然后实现恶意软件感染。

　　除此之外，研究人员还发现Lockfile 勒索软件使用了 ProxyShell 漏洞和 Windows PetitPotam 漏洞来在 Windows 域上执行加密任务。广大用户可以通过以下查询来扫描 ProxyShell 漏洞：

　　如何抵御 Lockfile 勒索软件？

　　为了缓解 ProxyShell 漏洞所带来的安全风险，我们建议广大用户尽快更新自己的 Microsoft Exchange 版本。

　　为了缓解 PetitPotam 漏洞的影响，广大用户可以使用0patch 的补丁（这是一种非官方的漏洞环节措施）。　　

　　参考资料

　　https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/

　　https://twitter.com/demonslay335

　　https://heimdalsecurity.com/blog/petitpotam-vulnerability-windows-domains/

　　https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

　　https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523

　　https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31207

　　https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-kb5*001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064

　　https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-may-11-2021-kb5*003435-028bd051-b2f1-4310-8f35-c41c9ce5a2f1

　　https://www.bleepingcomputer.com/news/security/researchers-earn-1-2-million-for-exploits-demoed-at-pwn2own-2021/

　　https://twitter.com/buffaloverflow

　　https://doublepulsar.com/multiple-threat-actors-including-a-ransomware-gang-exploiting-exchange-proxyshell-vulnerabilities-c457b1655e9c

　　https://twitter.com/GossiTheDog

　　https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

　　https://www.bleepingcomputer.com/news/security/new-unofficial-windows-patch-fixes-more-petitpotam-attack-vectors/

　　https://www.bleepingcomputer.com/news/microsoft/windows-petitpotam-attacks-can-be-blocked-using-new-method/