新型勒索软件LockFile活跃,正积极攻击Microsoft Exchange

概述近期,安全研究人员发现了一种针对MicrosoftExchange服务器的恶意软件,而且这款恶意软件甚至还可以执行Windows域加密。这款恶意软件名为LockFile,本质上它是一款勒索软件,当前变种主要利用的是ProxyShell漏洞。关于LockFile勒索软件根

NetSmell 出品

  概述

  近期,安全研究人员发现了一种针对 Microsoft Exchange 服务器的恶意软件,而且这款恶意软件甚至还可以执行 Windows 域加密。这款恶意软件名为 LockFile,本质上它是一款勒索软件,当前变种主要利用的是 ProxyShell 漏洞。

  关于 LockFile 勒索软件

  根据研究人员透露的信息,七月份出现了一份与 LockFile 勒索软件有关的勒索信息,这份勒索信息其名称已标识为“LOCKFILE-README.hta”,但并没有其他的明显标记了。而这个勒索软件团伙从上周开始改变了他们的策略,并开始使用带有 Logo 的勒索信息,并自称他们名为 LockFile。

  “[victim_name]-LOCKFILE-README.hta”这种命名规范是网络犯罪分子在特定勒索信息中所采用的惯用命名约定,并在勒索信息中告知目标用户如何参与和进行赎金谈判。LockFile 勒索软件团伙使用的邮件地址如下:contact@contipauper.com。

  我们可以看到,勒索信息中所采用的颜色样式和电子邮件地址名称与 Conti 勒索软件相似。尽管如此,从攻击策略和写作方法来看,LockFile 和 Conti 其实并无关联。

  因为,LockFile 不仅显示出与 Conti 的相似性,而且还显示出了与 LockBit 勒索软件的相似性。

  新型的 LockFile 勒索软件使用了“.lockfile”作为被加密文件的后缀名。

  那么,LockFile 是如何使用 ProxyShell 漏洞的呢?根据赛门铁克的说法,网络犯罪分子可以利用 ProxySheel 漏洞访问 Microsoft Exchange 的内部部署服务器,并利用 PetitPotam 漏洞接管目标 Windows 域。

  ProxyShell 到底是什么?

  ProxyShell 实际上是由三个漏洞组成的,分为别 CVE-2021-34473CVE-2021-34523CVE-2021-31207。前两个漏洞分别在 4 月份由 KB5*001779修复,最后一个漏洞在 5 月份由 KB5*003435修补。攻击者可以利用这些漏洞攻击 Microsoft Exchange,并在目标服务器上实现远程代码执行。

  这三个漏洞所带来的危害如下:

  通过这些漏洞,攻击者可以绕过 ACL 检测;

  攻击者可以在 Exchange PowerShell 后端实现提权;

  攻击者可以在目标设备上实现任意代码执行;

  通过利用这些 ProxyShell 漏洞,攻击者能够扫描并攻击 Microsoft Exchange 服务器,并在目标服务器上投放 Web Shell,然后实现恶意软件感染。

  除此之外,研究人员还发现Lockfile 勒索软件使用了 ProxyShell 漏洞和 Windows PetitPotam 漏洞来在 Windows 域上执行加密任务。广大用户可以通过以下查询来扫描 ProxyShell 漏洞:

  如何抵御 Lockfile 勒索软件?

  为了缓解 ProxyShell 漏洞所带来的安全风险,我们建议广大用户尽快更新自己的 Microsoft Exchange 版本

  为了缓解 PetitPotam 漏洞的影响,广大用户可以使用0patch 的补丁(这是一种非官方的漏洞环节措施)。  

  参考资料

  https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/

  https://twitter.com/demonslay335

  https://heimdalsecurity.com/blog/petitpotam-vulnerability-windows-domains/

  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523

  https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31207

  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-kb5*001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064

  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-may-11-2021-kb5*003435-028bd051-b2f1-4310-8f35-c41c9ce5a2f1

  https://www.bleepingcomputer.com/news/security/researchers-earn-1-2-million-for-exploits-demoed-at-pwn2own-2021/

  https://twitter.com/buffaloverflow

  https://doublepulsar.com/multiple-threat-actors-including-a-ransomware-gang-exploiting-exchange-proxyshell-vulnerabilities-c457b1655e9c

  https://twitter.com/GossiTheDog

  https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

  https://www.bleepingcomputer.com/news/security/new-unofficial-windows-patch-fixes-more-petitpotam-attack-vectors/

  https://www.bleepingcomputer.com/news/microsoft/windows-petitpotam-attacks-can-be-blocked-using-new-method/

显示余下内容
相关文章:
  1. 为避免处罚 谷歌想就数字广告业务调查与欧盟达成和解
  2. 看似普通的 Lightning 线能泄露输入的全部内容
  3. 特斯拉:9月18日起 取消车主引荐计划奖励
  4. 奶茶店疯狂扩张,奶茶小哥已经不够用了
  5. 京东零售CEO徐雷升任京东集团总裁
  6. 21岁美裔青年承认系T-Mobile攻击者,称曾被FBI强制送入精神病院
  7. 腾讯买“狗”还王小川
  8. 遭遇全球反垄断四连重击后,苹果“撕毁”判决重新上诉
  9. 杨元庆:新IT打造新引擎 联想未来三年研发投入翻番
  10. Google Lens将率先整合MUM新AI技术:图文混合搜索即将落地
 

发表评论

您的电子邮箱地址不会被公开。