《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > FBI“合法清除”被攻擊Exchange服務(wù)器上的WebShell

FBI“合法清除”被攻擊Exchange服務(wù)器上的WebShell

2021-04-15
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: Exchange WebShell

  2021年1月到2月,有黑客組織使用Microsoft Exchange郵件服務(wù)器軟件中的0day漏洞利用鏈(ProxyLogon)來訪問電子郵件賬戶,并在服務(wù)器放置WebShell進(jìn)行遠(yuǎn)程權(quán)限管理。

  2.png

  在漏洞和補丁發(fā)布后,其他黑客組織也于3月初開始效仿,紛紛針對Exchange服務(wù)器進(jìn)行攻擊。

3.png

  盡管許多受感染的系統(tǒng)所有者成功地從數(shù)千臺計算機中刪除了WebShell,但還是有數(shù)百個臺服務(wù)器上運行著WebShell。

  因此美國司法部在2021年4月13日宣布了一項法院授權(quán)的行動,該行動將授權(quán)FBI從美國數(shù)百臺用于提供企業(yè)級電子郵件服務(wù)的Microsoft Exchange服務(wù)器中,先收集大量被攻陷的服務(wù)器,再將這些服務(wù)器上的WebShell進(jìn)行拷貝,然后再刪除服務(wù)器上的惡意WebShell。

 4.png5.png

  2021年3月2日,Microsoft宣布一個黑客組織使用多個零日漏洞來定位運行Microsoft Exchange Server軟件的計算機。其他各種黑客組織也利用這些漏洞在數(shù)千臺受害計算機(包括位于美國的受災(zāi)計算機)上安裝了Web Shell。由于FBI需要刪除的WebShell每個都有唯一的文件路徑和名稱,因此與其他通用WebShell相比,檢測和清除它們可能更具挑戰(zhàn)性。至于如何進(jìn)行清除,想必懂得都懂,畢竟存在WebShell的服務(wù)器基本沒有修補最新的漏洞補丁,因此……

6.png

  FBI試圖向所有刪除了黑客組織Webshell的計算機的所有者或運營商提供法院授權(quán)操作的通知。對于那些擁有公開聯(lián)系信息的受害者,聯(lián)邦調(diào)查局將從官方FBI電子郵件帳戶(@ FBI.gov)發(fā)送電子郵件,以通知受害人。對于那些無法公開獲得聯(lián)系信息的受害者,F(xiàn)BI將從同一FBI電子郵件帳戶向被認(rèn)為擁有聯(lián)系信息的提供商(例如受害者的ISP)發(fā)送一封電子郵件,并要求他們提供通知受害者。

  而在4月13日的FBI清除WebShell行動中,刪除了一個早期黑客組織的Web Shell,F(xiàn)BI通過Web Shell向服務(wù)器發(fā)出命令進(jìn)行了刪除,目的是讓服務(wù)器僅刪除Web Shell(由其唯一的文件路徑標(biāo)識)。

  如下圖所示,執(zhí)行命令(該操作不代表其他WebShell的操作,僅僅針對一個服務(wù)器)

 微信截圖_20210415163342.png

  此外近期外媒爆料指出,F(xiàn)BI在2016年曾雇傭公司去解鎖一個槍手的iphone手機,當(dāng)時蘋果公司拒不配合解鎖。該公司是澳大利亞國防承包商Azimuth Security,Azimuth為美國、加拿大和英國政府生產(chǎn)黑客工具,并向FBI提供了一系列的IOS漏洞利用(Condor)從而解鎖iPhone。如今為L3Harris Technologies旗下,L3Harris于2018年4月收購了Azimuth和Linchpin Labs。

  而Linchpin Labs會向FBI,澳大利亞的情報服務(wù)以及英國和加拿大提供漏洞利用。而FBI曾經(jīng)從Azimuth獲得了針對Tor瀏覽器的攻擊。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。