当前位置:首页 > 黑客教程 > 正文内容

微软分享 Exchange Server 攻击背后的破坏活动情报

访客56年前 (1970-01-01)黑客教程668

许多企业内部的Exchange服务器正在忙着打补丁,但微软警告说,调查发现,在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限,或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。

微软本周早些时候表示,已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而, *** 安全公司F-Secure表示,已经有 “数万台”Exchange服务器被入侵。

在一篇新的博客文章中,微软重申了它的警告,即 “给系统打补丁并不一定能消除攻击者的访问”。”许多被入侵的系统还没有收到二次行动,例如人为操作的勒索软件攻击或数据外流,这表明攻击者可能正在建立和保留他们的访问权限,以便以后的潜在行动,”微软365 Defender威胁情报团队指出。

在系统被入侵的地方,微软敦促管理员实践最小特权原则,减轻 *** 上的横向移动。更低权限将有助于解决常见的做法,即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。”由于服务账户凭证不会经常改变,这可以为攻击者提供很大的优势,即使他们由于防病毒检测而失去了最初的Web Shell访问,因为该账户可以用于以后提升权限,”微软指出。

以DoejoCrypt勒索软件(又名DearCry)为例,微软指出,该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现,并且可能为攻击者提供了一条重新获得访问的途径,在那里感染已经被检测和删除。

“这个批处理文件会执行安全账户管理器(SAM)数据库以及系统和安全注册表蜂巢的备份,允许攻击者稍后访问系统上本地用户的密码,更关键的是,在注册表的LSA[本地安全]部分,那里存储着服务和计划任务的密码,”微软指出。

即使在受害者没有被勒索的情况下,攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说,受害者今天可能没有被勒索,但攻击者已经在 *** 上留下了明天动手的工具。

Exchange服务器面临的另一个 *** 犯罪威胁来自于恶意加密货币矿工。据观察,Lemon Duck加密货币僵尸 *** 就在利用脆弱的Exchange服务器。有趣的是,Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器,使其独占Exchange服务器的权限。微软还发现,服务器被用来安装其他恶意软件,而不仅仅是挖掘加密货币。

微软同时公布了大量的泄密指标,系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。

(消息及封面来源:cnBeta)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32549.html

“微软分享 Exchange Server 攻击背后的破坏活动情报” 的相关文章

Lapsus$ 黑客入侵 T-Mobile 的系统并窃取其源代码

Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说”被访问的系统不包含客户或政府信息或其他类似的敏感信息”。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。...

区块链公司 Ronin 被黑 6.15亿美元加密货币被盗

视频链接:https://n.sinaimg.cn/sinakd20211219s/138/w600h338/20211219/9907-45d93401a89f40f888b22dc250f73fab.jpg 区块链项目Ronin发布消息称,黑客从该项目窃取价值6.15亿美元的加密货币。按照R...

美国在俄罗斯对乌克兰采取军事行动前已展开网络防御秘密任务

在俄罗斯对乌克兰采取军事行动的几个月前,一队美国人在乌克兰各地寻找一种非常特殊的威胁。据悉,其中一些小组成员是美国陆军网络司令部的士兵,其他人则是民用承包商和一些美国公司的雇员,他们帮助保护关键基础设施免受俄罗斯机构对乌克兰采取的网络攻击。 自2015年乌克兰电网遭遇网络攻击进而导致基辅部分地区停...

Log4j 漏洞可能需要数月甚至数年时间才能妥善解决

网络安全专家认为 CVE-2021-44228 的普遍性以及容易被利用,这个 Log4j 中的远程代码执行漏洞可能需要数月甚至数年时间才能得到妥善解决。McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 表示,Log4Shell 的破坏力完全和 S...

美敦力公司召回部分胰岛素泵控制器,以应对网络攻击风险

医疗设备制造商美敦力公司(Medtronic)已召回其部分胰岛素泵使用的遥控器,因为这些遥控器存在严重的漏洞,可能导致患者受伤或死亡。 攻击者可以利用漏洞来改变胰岛素泵提供给病人的剂量。 “MiniMed™远程控制器使用无线射频(RF)与胰岛素泵通信,可以在不按任何胰岛素泵按钮的情况下将一定量的胰岛...

抵御跨站攻击:Mozilla 为 Firefox 90 引入元数据请求标头功能

Mozilla 很高兴地宣布,Firefox 90 版本将支持基于“元数据请求标头”的获取功能,使得 Web 应用程序能够保护自身和用户免受各种跨源威胁。据悉,此类威胁涵盖了跨站点请求伪造(CSRF)、跨站点泄露(XS-Leaks)、以及投机性跨站点执行侧信道(Spectre)攻击。 跨站攻击的背...

评论列表

世味青迟
3年前 (2022-06-23)

ll设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说,受害者今天可能没有被勒索,但攻击者已经在网络上留

鸠骨夙世
3年前 (2022-06-23)

也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。