就在上周,我们发布了一篇关于多个零日攻击用于在有限和有针对性的攻击中攻击Microsoft Exchange Server的上部门版本。看看,在正常情况下,在正常情况下,您可以看到贴片的披露如何进行补丁,您会看到一些公司快速更新,其他公司将在其冒泡到他们的待办事项列表之上。

这种被称为ProxyLogon的攻击方法与铪的攻击方法不同。它很快就从“有限和有针对性的攻击”演变成了全面的恐慌。攻击者在建立web Shell之前使用Exchange Bug访问易受攻击的服务器,以获得持久性并窃取信息。

这种情况是如何演变的?时间表

为了说明这种情况是如何发生的,我们想向您展示这一发展时间表:

  • 2020年12月,CVE-2021-26855是由DEVCORE发现的,他将该漏洞命名为ProxyLogon。
  • 2021年1月,DEVCORE通过MSRC门户向Microsoft发送咨询和漏洞攻击。
  • 2021年1月,VolexityDubex开始查看Exchange漏洞的利用情况。
  • 2021年1月27日,Dubex与微软分享了其调查结果。
  • 2021年2月2日,Volexity将其发现告知微软。
  • 2021年3月2日,微软发布了一个补丁和咨询自那以后,该网站已更新了几次。
  • 2021年3月4日,网络安全和基础设施安全局发布了一份紧急报告指令在CISA合作伙伴发现必威客服appMicrosoft Exchange本地产品的漏洞被积极利用之后。
  • 2021年3月5日,微软和许多安全供应商发现,在针对未修补系统的攻击中,这些漏洞被多个恶意参与者(而不仅仅是铪)越来越多地使用。
  • 2021年3月8日,CISA发布了警告它意识到在国内和国际上广泛利用这些漏洞。

攻击从有限的高级持续威胁(恰当的)用来对付目标受害者加密M在运营中由“普通的”网络罪犯经营。

在漏洞被披露并打补丁后经常发生的情况是,犯罪分子通过逆向工程修复漏洞来创建自己的复制漏洞,这样他们就可以在系统未打补丁时进行攻击。有时需要大量的技能和毅力才能让一个漏洞为您工作,但看看这些Exchange漏洞迅速引入到威胁领域的情况,这个漏洞看起来就像小菜一盘。

受害者

截至3月8日,Malwareb必威平台APPytes已经在近1000台独特的机器上检测到恶意web shell。虽然大部分有记录的攻击发生在美国,但其他国家的组织也受到了攻击。

在全球范围内检测到Web shell
后门发现的实例。铪

CISA前主管克里斯·克雷布斯(Chris Krebs)认为,政府机构和小企业将比大企业更容易受到这些袭击的影响。企业倾向于使用与本地Exchange服务器不同的软件。

后门。国家检测
2021年3月8日逐个国家分布返回后的分布。

但Brian Krebs在其网站上的一篇帖子中表示,铪黑客已经对易受攻击的Exchange服务器的加速攻击因为微软发布了补丁。他的消息来源告诉他,美国有3万个组织在这场运动中被黑客入侵。

Web贝壳

web shell是攻击者使用的一种恶意脚本,它允许攻击者升级并维持对已经被攻击的web应用程序的持久访问。(并非每个web shell都是恶意的,但在本文中,我们对非恶意的web shell并不感兴趣。)

Web Shell不会攻击或利用远程漏洞,它们始终是攻击的第二步。即使它打开了进一步利用的大门,web shell本身也总是在初次利用后被丢弃。

Web shell脚本可以用任何设计用于Web的编程语言编写。您可以找到PHP、ASP、Perl和许多其他语言。成功使用web shell的攻击者利用了许多组织无法完全查看其服务器上的HTTP会话这一事实。而且大多数网络外壳基本上都是非可执行文件,这使得传统的杀毒软件很难检测到它们。的最小的网络层在PHP中只有这么大:

< = $ _GET[1]的?>

这样的shell只需执行攻击者发送给受损服务器的任何命令。他们通过在浏览器中调用脚本或从命令行HTTP客户端运行脚本。例如,下面的url将导致example.com上运行的一个小型web shell执行我们放置的任何内容{命令}与:

www.example.com/index.html ? 1 ={命令}

正如您所看到的,使用这种类型的后门很容易。植入web外壳后,可以使用它创建其他web外壳或从服务器窃取信息。

我们能做什么?

尽快修补。

微软的团队发布了一份github上的脚本它可以检查Exchange服务器的安全状态。该脚本已更新,以包含与Microsoft Exchange Server中发现的四个零天漏洞相关联的危害指标(IOC)。

它上周很重要,当时它只是有针对性的攻击,但现在这一切都是狂热的,这是狂野的西方。如果您无法修补Exchange Server,请通过阻止不受信任的连接来阻止对其的Internet访问,或限制对其的访问,或将服务器放在VPN后面。

扫描服务器以查看是否存在恶意web外壳。安全供应商已经为公开发布的IOC添加了检测功能,一些供应商还将检测其他恶意web外壳。

必威平台APPMalwarebytes对恶意网络外壳的通用检测名称是后门。WebShell和直接绑定到铪组的web shell的检测名称为后门。铪.

星云检测逆床.Hafnium.
必威平台APP检测后门的恶意软件。铪

我们会在第一篇文章中更新时间轴随着更多的发展和新的信息曝光,我们将继续关注这个话题。

大家注意安全!