《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Exchange服務(wù)器成為 "Epsilon Red "惡意軟件的攻擊目標(biāo)

Exchange服務(wù)器成為 "Epsilon Red "惡意軟件的攻擊目標(biāo)

2021-06-08
來(lái)源:嘶吼專業(yè)版

  最近的研究表明,威脅攻擊者使用了一套用作加密的PowerShell腳本部署了新的勒索軟件,它利用未打補(bǔ)丁的Exchange服務(wù)器的漏洞來(lái)攻擊企業(yè)網(wǎng)絡(luò)

  Sophos首席研究員Andrew Brandt在網(wǎng)上發(fā)表的一份報(bào)告中寫道,安全公司Sophos的研究人員在調(diào)查一家總部設(shè)在美國(guó)的酒店業(yè)公司的攻擊時(shí)發(fā)現(xiàn)了這種新的勒索軟件,并命名為Epsilon Red。

  這個(gè)名字是由攻擊者自己創(chuàng)造的,他們可能和使用REvil勒索軟件進(jìn)行攻擊的是同一批人,這個(gè)名字是X戰(zhàn)警漫威漫畫中的一個(gè)不起眼的敵人角色的名稱。這個(gè)角色是一個(gè) “據(jù)稱來(lái)自俄羅斯的超級(jí)士兵”,同時(shí)還配備了四個(gè)機(jī)械觸角。這似乎代表了勒索軟件將其攻擊范圍伸入到企業(yè)內(nèi)部的方式。

  他寫道:“雖然該惡意軟件本身是一個(gè)用Go編程語(yǔ)言編寫的未加殼的64位Windows可執(zhí)行程序,但它的交付系統(tǒng)更復(fù)雜一些,它會(huì)依靠一系列的PowerShell腳本,為受害者的機(jī)器準(zhǔn)備好勒索軟件有效載荷,并在最終啟動(dòng)它。”

  勃蘭特寫道,我們?cè)诹粼谑芨腥倦娔X上的勒索信息中找到了與REvil集團(tuán)的一些聯(lián)系,它和Revil勒索軟件留下的字條非常相似,只是做了一些微小的語(yǔ)法修正,這樣對(duì)于英語(yǔ)母語(yǔ)者來(lái)說更容易閱讀。然而,該勒索軟件工具和名稱似乎是攻擊者自定義的,而且與之前的REvil攻擊載體沒有其他相似之處。

  根據(jù)該報(bào)告,Sophos在觀察到的攻擊中的受害者最終在5月15日支付了4.29比特幣的贖金,相當(dāng)于當(dāng)時(shí)的21萬(wàn)美元左右。

  具有攻擊性的PowerShell

  最初切入點(diǎn)是對(duì)一個(gè)未打補(bǔ)丁的企業(yè)微軟Exchange服務(wù)器進(jìn)行攻擊,攻擊者可以在那里使用Windows Management Instrumentation(WMI)軟件--一種在Windows生態(tài)系統(tǒng)中自動(dòng)操作的腳本工具,然后將其他軟件安裝到他們可以從Exchange服務(wù)器訪問到的網(wǎng)絡(luò)內(nèi)的機(jī)器上。

  目前還不完全清楚攻擊者是否利用了臭名昭著的Exchange ProxyLogon漏洞,該漏洞是今年早些時(shí)候微軟曝出的一個(gè)高危漏洞。然而,據(jù)Brandt觀察,網(wǎng)絡(luò)中使用未打補(bǔ)丁的服務(wù)器確實(shí)容易受到這一漏洞的攻擊。

  在這個(gè)攻擊過程中,攻擊者使用了一系列的PowerShell腳本,并將其編號(hào)為1.ps1至12.ps1,還有一些以字母表中的單個(gè)字母命名的腳本,為被攻擊的機(jī)器準(zhǔn)備最后的有效載荷。他寫道,這些腳本還交付并啟動(dòng)了Epsilon Red有效載荷。

  PowerShell腳本使用了一種初級(jí)形式的混淆方法,但這并不妨礙Sophos研究人員對(duì)其進(jìn)行分析,但Brandt指出:“這種方式可能足以逃避反惡意軟件工具的檢測(cè),然后該工具可以順利的掃描硬盤上的文件,這正是攻擊者所需要的”。

  有效載荷的交付

  Brandt解釋說:“該勒索軟件本身是一個(gè)名為RED.exe的文件,它使用了一個(gè)名為MinGW的工具進(jìn)行編譯,并使用修改后的打包工具UPX進(jìn)行打包。有效載荷包含了GitHub上一個(gè)名為 ”godirwalk “的開源項(xiàng)目的一些代碼,使其能夠掃描其運(yùn)行的硬盤上的目錄路徑,并將其編譯成為一個(gè)列表?!?/p>

  他寫道:“然后勒索軟件會(huì)產(chǎn)生一個(gè)新的子進(jìn)程,分別對(duì)每個(gè)子文件夾進(jìn)行加密,這在短時(shí)間內(nèi)會(huì)導(dǎo)致許多勒索軟件副本進(jìn)程同時(shí)運(yùn)行。

  Brandt觀察到,可執(zhí)行文件本身是一個(gè)小文件,是一個(gè)很簡(jiǎn)單的程序,只是用于對(duì)目標(biāo)系統(tǒng)上的文件進(jìn)行加密,不進(jìn)行網(wǎng)絡(luò)連接或有其他的任何關(guān)鍵功能,所有這些功能都在PowerShell腳本內(nèi)進(jìn)行實(shí)現(xiàn)。

  由于攻擊的切入點(diǎn)是未打補(bǔ)丁的微軟Exchange服務(wù)器,很容易受到ProxyLogon漏洞的影響,Sophos建議管理員盡快將所有服務(wù)器更新并及時(shí)對(duì)其打補(bǔ)丁,防止攻擊的發(fā)生。




電子技術(shù)圖片.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。