(背景圖) jussara romao on unsplash
2021年揭露的Exchange Server的ProxyShell漏洞,貴公司是否已經補好?安全廠商Morphisec研究人員又發現新惡意程式ProxyShellMiner企圖濫用這漏洞,在受害者系統上植入挖礦軟體。
ProxyShell是指2021年4、5月微軟修補的三項漏洞,包括CVE-2021-34473與CVE-2021-34523及CVE-2021-31207,曾經遭多個駭客組織先後濫用。Morphisec近日發現到的ProxyShellMiner則是濫用Exchange Server的前二項漏洞。在駭入企業網路後,再於Windows電腦上植入挖礦程式。
攻擊路徑方面,攻擊者先以ProxShell漏洞存取Exchange Server,取得其控制權,然後再存取網域控制器的NetLogon資料匣。NetLogon儲存網域控制器註冊的所有伺服器資源記錄,攻擊者用它來確保挖礦程式可在整個網域內執行。
在攻擊細節上,攻擊者經由ProxyShell漏洞從遠端伺服器下載ProxyShellMiner,它會下載載入程式(loader),以著名的RunPE程式進行行程掏空(process hollowing)手法,挑選某個瀏覽器植入XMrig挖礦程式。值得注意的是,它會建立一個防火牆規則,封鎖對外程式連線,以便防止觸發安全軟體偵測。研究人員猜測它之後再以未被偵測的後門連結外部C&C伺服器及礦池。
Morphisec研究人員偵測到攻擊者所用的4臺C&C伺服器,全都是被駭入的合法郵件伺服器,被攻擊者用來代管攻擊所需的檔案。
安全廠商說,攻擊者利用受害公司電腦挖礦,將導致系統效能下降、增加耗電、系統過熱,以及服務停擺。此外,一旦攻擊者以此作為攻擊基地,還可能植入後門程式或執行程式碼。
由於微軟早已釋出ProxyShell的修補程式,研究人員呼籲用戶應升級到最新版本,並部署威脅偵測及防護產品。
熱門新聞
2024-09-29
2024-10-01
2024-09-29
2024-09-30
2024-10-01
2024-10-01
2024-09-30