微软分享Exchange Server攻击背后的破坏活动情报

蓝天二号

许多企业内部的Exchange服务器正在忙着打补丁，但微软警告说，调查发现，在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限，或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。

微软本周早些时候表示，已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而，网络安全公司F-Secure表示，已经有 "数万台"Exchange服务器被入侵。

在一篇新的博客文章中，微软重申了它的警告，即 "给系统打补丁并不一定能消除攻击者的访问"。"许多被入侵的系统还没有收到二次行动，例如人为操作的勒索软件攻击或数据外流，这表明攻击者可能正在建立和保留他们的访问权限，以便以后的潜在行动，"微软365 Defender威胁情报团队指出。

在系统被入侵的地方，微软敦促管理员实践最小特权原则，减轻网络上的横向移动。最低权限将有助于解决常见的做法，即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。"由于服务账户凭证不会经常改变，这可以为攻击者提供很大的优势，即使他们由于防病毒检测而失去了最初的Web Shell访问，因为该账户可以用于以后提升权限，"微软指出。

以DoejoCrypt勒索软件（又名DearCry）为例，微软指出，该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现，并且可能为攻击者提供了一条重新获得访问的途径，在那里感染已经被检测和删除。

"这个批处理文件会执行安全账户管理器（SAM）数据库以及系统和安全注册表蜂巢的备份，允许攻击者稍后访问系统上本地用户的密码，更关键的是，在注册表的LSA[本地安全]部分，那里存储着服务和计划任务的密码，"微软指出。

即使在受害者没有被勒索的情况下，攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前，Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说，受害者今天可能没有被勒索，但攻击者已经在网络上留下了明天动手的工具。

Exchange服务器面临的另一个网络犯罪威胁来自于恶意加密货币矿工。据观察，Lemon Duck加密货币僵尸网络就在利用脆弱的Exchange服务器。有趣的是，Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器，使其独占Exchange服务器的权限。微软还发现，服务器被用来安装其他恶意软件，而不仅仅是挖掘加密货币。

微软同时公布了大量的泄密指标，系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。