当前位置:首页 > 黑客教程 > 正文内容

微软分享 Exchange Server 攻击背后的破坏活动情报

访客56年前 (1970-01-01)黑客教程735

许多企业内部的Exchange服务器正在忙着打补丁,但微软警告说,调查发现,在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限,或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。

微软本周早些时候表示,已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而, *** 安全公司F-Secure表示,已经有 “数万台”Exchange服务器被入侵。

在一篇新的博客文章中,微软重申了它的警告,即 “给系统打补丁并不一定能消除攻击者的访问”。”许多被入侵的系统还没有收到二次行动,例如人为操作的勒索软件攻击或数据外流,这表明攻击者可能正在建立和保留他们的访问权限,以便以后的潜在行动,”微软365 Defender威胁情报团队指出。

在系统被入侵的地方,微软敦促管理员实践最小特权原则,减轻 *** 上的横向移动。更低权限将有助于解决常见的做法,即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。”由于服务账户凭证不会经常改变,这可以为攻击者提供很大的优势,即使他们由于防病毒检测而失去了最初的Web Shell访问,因为该账户可以用于以后提升权限,”微软指出。

以DoejoCrypt勒索软件(又名DearCry)为例,微软指出,该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现,并且可能为攻击者提供了一条重新获得访问的途径,在那里感染已经被检测和删除。

“这个批处理文件会执行安全账户管理器(SAM)数据库以及系统和安全注册表蜂巢的备份,允许攻击者稍后访问系统上本地用户的密码,更关键的是,在注册表的LSA[本地安全]部分,那里存储着服务和计划任务的密码,”微软指出。

即使在受害者没有被勒索的情况下,攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说,受害者今天可能没有被勒索,但攻击者已经在 *** 上留下了明天动手的工具。

Exchange服务器面临的另一个 *** 犯罪威胁来自于恶意加密货币矿工。据观察,Lemon Duck加密货币僵尸 *** 就在利用脆弱的Exchange服务器。有趣的是,Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器,使其独占Exchange服务器的权限。微软还发现,服务器被用来安装其他恶意软件,而不仅仅是挖掘加密货币。

微软同时公布了大量的泄密指标,系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。

(消息及封面来源:cnBeta)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32549.html

“微软分享 Exchange Server 攻击背后的破坏活动情报” 的相关文章

Lapsus$ 黑客入侵 T-Mobile 的系统并窃取其源代码

Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说”被访问的系统不包含客户或政府信息或其他类似的敏感信息”。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。...

NCSC 向四千多家网店发警告:警惕 Magecart 攻击 会窃取客户支付数据

英国国家网络安全中心(NCSC)近日向 4000 多家网店的店主发出警告,他们的网站受到了 Magecart 的攻击影响,会窃取客户的支付信息。Magecart 攻击也称网络盗取、数字盗取或电子盗取,攻击者将被称为信用卡盗取器的脚本注入被攻击的网店,以收获和窃取顾客在结账页面提交的支付和/或个人信息...

宜家加拿大分公司通报数据泄露事件 影响约 95000 名客户

当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。 宜家加拿大公司已通知加拿大隐私专员,因为有95...

攻击者部署后门,窃取 Exchange 电子邮件

网络安全研究人员将该 APT 组织追踪为 UNC3524,并强调在某些情况下,该组织可以对受害者环境进行超过 18 个月的访问,展示了其 “先进 “的隐匿能力。 在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安...

有用户怀疑 LastPass 的主密码数据库可能已被泄露

有使用LastPass的用户报告说,有多人试图使用正确的主密码从不同地点登录,表明该公司可能存在数据泄露。Hacker News论坛的多名用户报告称他们的LastPass的主密码似乎被泄露了。 目前还不知道这些密码是如何泄露的,但在用户中已经出现了一种类似的情形。 大多数报告似乎来自拥有过时的Las...

Morphisec 发现了信息窃取软件 Jupyter infostealer 新版本

网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包...

评论列表

世味青迟
3年前 (2022-06-23)

ll设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说,受害者今天可能没有被勒索,但攻击者已经在网络上留

鸠骨夙世
3年前 (2022-06-23)

也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。