2021年1月到2月,有黑客組織使用Microsoft Exchange郵件服務(wù)器軟件中的0day漏洞利用鏈(ProxyLogon)來訪問電子郵件賬戶,并在服務(wù)器放置WebShell進(jìn)行遠(yuǎn)程權(quán)限管理。
在漏洞和補丁發(fā)布后,其他黑客組織也于3月初開始效仿,紛紛針對Exchange服務(wù)器進(jìn)行攻擊。
盡管許多受感染的系統(tǒng)所有者成功地從數(shù)千臺計算機中刪除了WebShell,但還是有數(shù)百個臺服務(wù)器上運行著WebShell。
因此美國司法部在2021年4月13日宣布了一項法院授權(quán)的行動,該行動將授權(quán)FBI從美國數(shù)百臺用于提供企業(yè)級電子郵件服務(wù)的Microsoft Exchange服務(wù)器中,先收集大量被攻陷的服務(wù)器,再將這些服務(wù)器上的WebShell進(jìn)行拷貝,然后再刪除服務(wù)器上的惡意WebShell。
2021年3月2日,Microsoft宣布一個黑客組織使用多個零日漏洞來定位運行Microsoft Exchange Server軟件的計算機。其他各種黑客組織也利用這些漏洞在數(shù)千臺受害計算機(包括位于美國的受災(zāi)計算機)上安裝了Web Shell。由于FBI需要刪除的WebShell每個都有唯一的文件路徑和名稱,因此與其他通用WebShell相比,檢測和清除它們可能更具挑戰(zhàn)性。至于如何進(jìn)行清除,想必懂得都懂,畢竟存在WebShell的服務(wù)器基本沒有修補最新的漏洞補丁,因此……
FBI試圖向所有刪除了黑客組織Webshell的計算機的所有者或運營商提供法院授權(quán)操作的通知。對于那些擁有公開聯(lián)系信息的受害者,聯(lián)邦調(diào)查局將從官方FBI電子郵件帳戶(@ FBI.gov)發(fā)送電子郵件,以通知受害人。對于那些無法公開獲得聯(lián)系信息的受害者,F(xiàn)BI將從同一FBI電子郵件帳戶向被認(rèn)為擁有聯(lián)系信息的提供商(例如受害者的ISP)發(fā)送一封電子郵件,并要求他們提供通知受害者。
而在4月13日的FBI清除WebShell行動中,刪除了一個早期黑客組織的Web Shell,F(xiàn)BI通過Web Shell向服務(wù)器發(fā)出命令進(jìn)行了刪除,目的是讓服務(wù)器僅刪除Web Shell(由其唯一的文件路徑標(biāo)識)。
如下圖所示,執(zhí)行命令(該操作不代表其他WebShell的操作,僅僅針對一個服務(wù)器)
此外近期外媒爆料指出,F(xiàn)BI在2016年曾雇傭公司去解鎖一個槍手的iphone手機,當(dāng)時蘋果公司拒不配合解鎖。該公司是澳大利亞國防承包商Azimuth Security,Azimuth為美國、加拿大和英國政府生產(chǎn)黑客工具,并向FBI提供了一系列的IOS漏洞利用(Condor)從而解鎖iPhone。如今為L3Harris Technologies旗下,L3Harris于2018年4月收購了Azimuth和Linchpin Labs。
而Linchpin Labs會向FBI,澳大利亞的情報服務(wù)以及英國和加拿大提供漏洞利用。而FBI曾經(jīng)從Azimuth獲得了針對Tor瀏覽器的攻擊。