微软分享ExchangeServer攻击背后的破坏活动情报
许多企业内部的Exchange服务器正在忙着打补丁,但微软警告说,调查发现,在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限,或者攻击者在早期的攻击中就已经窃取了凭证。 微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。
微软本周早些时候表示,已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而,网络安全公司F-Secure表示,已经有 "数万台"Exchange服务器被入侵。
在一篇新的博客文章中,微软重申了它的警告,即 "给系统打补丁并不一定能消除攻击者的访问"。"许多被入侵的系统还没有收到二次行动,例如人为操作的勒索软件攻击或数据外流,这表明攻击者可能正在建立和保留他们的访问权限,以便以后的潜在行动,"微软365 Defender威胁情报团队指出。
在系统被入侵的地方,微软敦促管理员实践最小特权原则,减轻网络上的横向移动。最低权限将有助于解决常见的做法,即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。"由于服务账户凭证不会经常改变,这可以为攻击者提供很大的优势,即使他们由于防病毒检测而失去了最初的Web Shell访问,因为该账户可以用于以后提升权限,"微软指出。
以DoejoCrypt勒索软件(又名DearCry)为例,微软指出,该病毒株使用的web shell会将一个批处理文件写入C: Windows Tempxx.bat。这在所有被DoejoCrypt击中的系统中都被发现,并且可能为攻击者提供了一条重新获得访问的途径,在那里感染已经被检测和删除。
"这个批处理文件会执行安全账户管理器(SAM)数据库以及系统和安全注册表蜂巢的备份,允许攻击者稍后访问系统上本地用户的密码,更关键的是,在注册表的LSA[本地安全]部分,那里存储着服务和计划任务的密码,"微软指出。
即使在受害者没有被勒索的情况下,攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说,受害者今天可能没有被勒索,但攻击者已经在网络上留下了明天动手的工具。
Exchange服务器面临的另一个网络犯罪威胁来自于恶意加密货币矿工。据观察,Lemon Duck加密货币僵尸网络就在利用脆弱的Exchange服务器。有趣的是,Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器,使其独占Exchange服务器的权限。微软还发现,服务器被用来安装其他恶意软件,而不仅仅是挖掘加密货币。
微软同时公布了大量的泄密指标,系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。
【来源:cnBeta.COM】
联通防骚扰升级来电管家新增垃圾短信拦截功能根据工信部骚扰电话治理要求,中国联通表示ldquo联通来电管家rdquo免费产品将于5月13日进行产品升级,在原有防骚扰电话基础上额外增加垃圾短信拦截功能。之后将升级到ldquo联
爆料荣耀30Pro开始测试华为鸿蒙HarmonyOS2。0数码博主北冥数码鲲今日放出了一张华为内部关于荣耀30Pro测试HarmonyOS的截图,图片显示该机正运行基于HarmonyOS2。0开发者测试版的系统。此外,他还透露荣耀30系列
联发科Q1利润大涨2484nm旗舰年底试产今年3月份,国产手机品牌创造了一个纪录,当月发布了35款手机,平均每天发一款,5G手机这次是爆发式增长。受益于国内5G市场,联发科今年Q1季度的业绩也也爆发了,合并营收1088。3
诺基亚宣布推出基于区块链的数据市场据国外媒体报道,诺基亚宣布推出诺基亚数据市场mdashmdash公司企业级基于区块链的数据市场基础设施服务。与普通公链不同,诺基亚区块链属于私链,将由诺基亚公司进行运营维护。在周三
曝联发科年底试产4nm芯片或升级A79架构联发科在2020年凭借天玑1000等系列处理器拿下了诸多市场,一举成为国内最大手机SOC供应商。但目前来看,联发科在高端市场并未实现突破,虽说之前的天玑1000和新发的天玑1200
第四大运营商成立7个月中国广电192号段发放2020年10月12日,中国广播电视网络股份有限公司(中国广电)正式在北京成立,成为国内第四大运营商,不但同样拿到了5G牌照,而且是非常优质的700MHz频段资源。7个月过去了,中
特斯拉向新车主提供驾驶考试满分可获得奖状近日,特斯拉开启ldquo交付日全方位车主讲堂活动rdquo,向提车用户提供ldquo车主讲堂rdquoldquo趣味问答rdquo,帮助车主ldquo快速入门rdquo。据特斯拉
2。1s破百!特斯拉ModelS终极版疯狂刷圈为了与保时捷Taycan竞争,特斯拉推出了ModelS的终极版本mdashmdashModelSPlaid。而近日,有外媒在拉古纳塞卡赛道拍摄到了一组ModelSPlaid的测试谍
外媒特斯拉将在以色列推迟交付Model3据国外媒体报道,特斯拉Model3在以色列的交付将被推迟。今年1月初,外媒称,特斯拉已经获得了以色列交通部颁发的商业进口汽车许可证,允许该公司开始进行ldquo不限数量的全面运营r
谷歌WearOS添加Gboard输入法,支持QWER全键盘输入根据外媒消息,今日谷歌WearOS正式宣布将自家的Gboard输入法带到智能手表的WearOS系统,支持全键盘输入,兼容多种语言。这款输入法还支持语音输入Emoji表情输入功能,体
OPPO公开新专利,可避免电子红包被漏抢如今,包括微信在内的多种即时通讯App均提供了抢红包功能,但有时用户会因为群内消息过多而错过红包。企查查App显示,5月7日,OPPO广东移动通信有限公司与深圳市欢太科技有限公司共