2021年披露的Exchange Server的ProxyShell漏洞,贵公司是否已经补好?安全厂商Morphisec研究人员又发现新恶意程序ProxyShellMiner企图滥用这漏洞,在受害者系统上植入挖矿软件。
ProxyShell是指2021年4、5月微软修补的三项漏洞,包括CVE-2021-34473与CVE-2021-34523及CVE-2021-31207,曾经遭多个黑客组织先后滥用。Morphisec近日发现到的ProxyShellMiner则是滥用Exchange Server的前二项漏洞。在黑入企业网络后,再于Windows计算机上植入挖矿程序。
攻击路径方面,攻击者先以ProxShell漏洞访问Exchange Server,取得其控制权,然后再访问域名控制器的NetLogon邮件存档。NetLogon存储域名控制器注册的所有服务器资源记录,攻击者用它来确保挖矿程序可在整个域名内执行。
在攻击细节上,攻击者经由ProxyShell漏洞从远程服务器下载ProxyShellMiner,它会下载加载程序(loader),以著名的RunPE程序进行行程掏空(process hollowing)手法,挑选某个浏览器植入XMring挖矿程序。值得注意的是,它会创建一个防火墙规则,封锁对外程序连接,以便防止触发安全软件侦测。研究人员猜测它之后再以未被侦测的后门连接外部C&C服务器及矿池。
Morphisec研究人员侦测到攻击者所用的4台C&C服务器,全都是被黑入的合法邮件服务器,被攻击者用来托管攻击所需的文件。
安全厂商说,攻击者利用受害公司计算机挖矿,将导致系统性能下降、增加耗电、系统过热,以及服务停摆。此外,一旦攻击者以此作为攻击基地,还可能植入后门程序或执行程序代码。
由于微软早已发布ProxyShell的修补程序,研究人员呼吁用户应升级到最新版本,并部署威胁侦测及防护产品。