提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

      2025-02-07

       2

      美创用户专访 | 精细化管理:医疗行业数据分类分级的策略与实践

      2025-01-10

       3

      容灾演练双月报|美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

      2025-01-10

       4

      国家级|美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

      2024-12-20

       5

      全球数据跨境流动合作倡议

      2024-11-22
      相关文章

      关注!数据安全新动态(2025年5月·上篇)

      2025-06-09

      《政务数据共享条例》解读 | 国家数据局张望:抓好《政务数据共享条例》落实 提高公共数据资源开发利用水平

      2025-06-06

      《政务数据共享条例》解读|王钦敏:夯实政务数据共享法制根基 全面提升政府数字化治理和服务水平

      2025-06-05

      网络安全护航新型工业化发展现状分析及建议举措

      2025-06-04

      网络安全的“宜家效应:为何我们偏爱自己搭建的防线?

      2025-06-03
      微软Exchange服务器上出现Black Kingdom勒索软件
      发布时间:2021-03-29 阅读次数: 244 次

      20213月,微软Exchange漏洞利用事件被公布报道,Exchange Server中的四个0day漏洞被超过10APT黑客组织盯上,同时安全厂商发现了近7,000个经由Exchange漏洞植入的webshell,用于攻击者的后续恶意操作,这其中就包括DearCry勒索软件。虽然Microsoft Defender 已经自动更新定义档,可在侦测到DearCry时加以封锁,但只要Microsoft还没修补好本月初披露的ProxyLogon漏洞,就还会有其他勒索软件上门。

       

      318日以来,研究人员发现有黑客团伙开始使用Black KingDom勒索软件来针对易受攻击的Exchange服务器,这款勒索软件并不复杂,其组成甚至显得有些初级和业余,但仍可能造成很大的损害。它可能与去年运行于易受攻击的Pulse Secure VPN集中器软件的同名勒索软件有关。

       

      Web Shell交付

       

      Black KingDom的交付是通过远程服务器进行编排的,该远程服务器的IP地址定位到德国的185.220.101.204,而攻击者的运行地址是185.220.101.216,由于两个IP地址都属于Tor出口节点,因此无法知道攻击者的实际位置。

       

      攻击者利用的是Microsoft Exchange Server本地部署版本的远程代码执行(RCE)漏洞,也称为ProxyLogonCVE-2021-27065)。

       

      成功突破Exchange服务器后,攻击者通过webshell对服务器的远程访问,进而执行任意命令。

       

      Webshell ChackLogsPL.aspx植入位置:

       

       

      我们观察到的其他Webshell文件名还有ckPassPL.aspxhackIdIO.aspx

       

      Webshell是由w3wp.exe写入磁盘的,w3wp.exe是承载Exchange管理中心(EAC)的Internet信息服务器(IIS)辅助进程,Microsoft将其内部名称命名为ECPExchange控制面板):

       

       

      勒索软件的执行和行为

       

      部署完Webshell之后,攻击者通过发出PowerShell命令来发起攻击(由于大小限制,此处未完整显示):

       

       

      解码为以下脚本(已修改以提高可读性):

       

       

      脚本从此处下载勒索软件有效负载:hxxp://yuuuuu44`.`com/vpn-service/$(f1)/crunchyroll-vpn

       

      $f1)部分由函数f1生成,该函数生成一个由15个字母字符组成的随机字符串,因此实际网址看起来像这样:hxxp://yuuuuu44`.`com/vpn-service/ ojkgrctxslnbazd /crunchyroll-vpn

       

      (截止本文发表,yuuuu44域会将访问者重定向到NASA.GOV

       

      攻击者将勒索软件有效负载存储在 \`ComputerName`c$Windowssystem32 文件夹中,有效负载文件名同样由f1函数随机生成,例如:C:WindowsSystem32ojkgrctxslnbazd.exe

       

      脚本通过WMIWindows管理界面)调用Win32_Process来执行勒索软件,脚本还有将勒索软件上载到网络上的其他计算机并执行的功能。

       

      影响

       

      勒索软件二进制文件基于Python脚本,通过PyInstaller编译为可执行文件。我们将二进制文件反编译回其原始源代码,创建者将源代码命名为0xfff.py,其中的“ fff”代表十进制数4095的十六进制值,所代表的意义未知。

       

      勒索软件具有一个内置的文件夹名称列表,内容没有被加密:

       

       

      勒索软件试图使用服务名称中的SQL来停止计算机上运行的数据库服务,大概也可以对它们进行加密:

       

      上一条:勒索软件攻击导致损失上升的五种原因
      下一条:高校数据安全保护任重道远

      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部