微軟本周早些時候表示,已經檢測到92%的脆弱的Exchange服務器已經打瞭補丁或采取瞭緩解措施。然而,網絡安全公司F-Secure表示,已經有 "數萬臺"Exchange服務器被入侵。
在一篇新的博客文章中,微軟重申瞭它的警告,即 "給系統打補丁並不一定能消除攻擊者的訪問"。"許多被入侵的系統還沒有收到二次行動,例如人為操作的勒索軟件攻擊或數據外流,這表明攻擊者可能正在建立和保留他們的訪問權限,以便以後的潛在行動,"微軟365 Defender威脅情報團隊指出。
在系統被入侵的地方,微軟敦促管理員實踐最小特權原則,減輕網絡上的橫向移動。最低權限將有助於解決常見的做法,即Exchange服務或計劃任務已被配置為具有高級權限的帳戶來執行備份等任務。"由於服務賬戶憑證不會經常改變,這可以為攻擊者提供很大的優勢,即使他們由於防病毒檢測而失去瞭最初的Web Shell訪問,因為該賬戶可以用於以後提升權限,"微軟指出。
以DoejoCrypt勒索軟件(又名DearCry)為例,微軟指出,該病毒株使用的web shell會將一個批處理文件寫入C:WindowsTempxx.bat。這在所有被DoejoCrypt擊中的系統中都被發現,並且可能為攻擊者提供瞭一條重新獲得訪問的途徑,在那裡感染已經被檢測和刪除。
"這個批處理文件會執行安全賬戶管理器(SAM)數據庫以及系統和安全註冊表蜂巢的備份,允許攻擊者稍後訪問系統上本地用戶的密碼,更關鍵的是,在註冊表的LSA[本地安全]部分,那裡存儲著服務和計劃任務的密碼,"微軟指出。
即使在受害者沒有被勒索的情況下,攻擊者使用特殊設計後的xx.bat批處理文件也可以通過當初投放該文件的Web Shell設法繼續訪問。在下載勒索軟件載荷和加密文件之前,Web Shell還會協助下載Cobalt Strike滲透測試套件。換句話說,受害者今天可能沒有被勒索,但攻擊者已經在網絡上留下瞭明天動手的工具。
Exchange服務器面臨的另一個網絡犯罪威脅來自於惡意加密貨幣礦工。據觀察,Lemon Duck加密貨幣僵屍網絡就在利用脆弱的Exchange服務器。有趣的是,Lemon Duck的操作者用xx.bat文件和一個Web Shell清理瞭一臺之前已經被黑過的Exchange服務器,使其獨占Exchange服務器的權限。微軟還發現,服務器被用來安裝其他惡意軟件,而不僅僅是挖掘加密貨幣。
微軟同時公佈瞭大量的泄密指標,系統管理員可以利用這些指標來搜索這些威脅的存在和憑證被盜的跡象。
留言列表
