概述近日,安全研究人员发现了一款??针对MicrosoftExchange服务器的恶意软件,这款恶意软件甚至可以进行Windows域加密。该恶意软件名为LockFile,本质上是勒索软件,当前变种主要利用ProxyShell漏洞。关于LockFile勒索病毒根据研究人员披露的信息,7月份出现了与LockFile勒索病毒相关的勒索病毒。勒索软件的名称已被识别为“LOCKFILE-README.hta”,但没有其他明显的迹象。而这个勒索软件团伙上周改变了策略,开始使用带有标识的勒索信息,并自称LockFile。“[victim_name]-LOCKFILE-README.hta”命名约定是网络犯罪分子在特定勒索信息中采用的通用命名约定,在勒索信息中告知目标用户如何参与和进行勒索谈判。LockFile勒索软件团伙使用的电子邮件地址如下:contact@contipauper.com。我们可以看到勒索信息中使用的配色方案和电子邮件地址名称与Conti勒索软件相似。但是,从攻击策略和写法来看,LockFile和Conti其实并无关联。因为,LockFile不仅与Conti相似,而且与LockBit勒索软件相似。新的LockFile勒索软件使用“.lockfile”作为加密文件的扩展名。那么,LockFile是如何利用ProxyShell漏洞的呢?据赛门铁克称,网络犯罪分子可以利用ProxySheel漏洞访问MicrosoftExchange的本地服务器,并利用PetitPotam漏洞接管目标Windows域。ProxyShell到底是什么?ProxyShell实际上由三个漏洞组成,分为CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。前两个漏洞分别在4月份被KB5*001779修复,最后一个漏洞在5月份被KB5*003435修复。攻击者可利用这些漏洞攻击MicrosoftExchange,在目标服务器上实现远程代码执行。这三个漏洞造成的危害如下:通过这些漏洞,攻击者可以绕过ACL检测;攻击者可以在ExchangePowerShell后端实现权限提升;攻击者可以在目标设备上实现任意代码执行;通过利用这些ProxyShell漏洞,攻击者可以扫描并攻击MicrosoftExchange服务器,并在目标服务器上投放WebShell,从而实现恶意软件感染。此外,研究人员还发现Lockfile勒索病毒利用ProxyShell漏洞和WindowsPetitPotam漏洞对Windows域执行加密任务。用户可以通过以下查询扫描ProxyShell漏洞:如何防御Lockfile勒索软件?为降低ProxyShell漏洞带来的安全风险,建议用户尽快更新MicrosoftExchange版本。为减轻PetitPotam漏洞的影响,广大用户可以使用0patch补丁(此为非官方漏洞链接措施)。
