2021年1月至2月,黑客组织利用MicrosoftExchange邮件服务器软件中的0日漏洞利用链(ProxyLogon)访问邮件账户,并放置WebShell进行远程权限管理。漏洞和补丁发布后,其他黑客组织在3月初纷纷效仿,陆续对Exchange服务器发起攻击。虽然许多受感染的系统所有者已经成功地从数千台计算机上删除了WebShell,但仍有数百台服务器在运行WebShell。因此,美国司法部于2021年4月13日宣布了一项法院授权行动,该行动将授权FBI首先从美国数百台用于提供企业级电子邮件服务的MicrosoftExchange服务器中收集大量受损的MicrosoftExchange服务器。美国。服务器,然后复制这些服务器上的WebShell,然后删除服务器上的恶意WebShell。2021年3月2日,微软宣布黑客组织利用多个零日漏洞攻击运行MicrosoftExchangeServer软件的计算机。其他各种黑客组织也利用这些漏洞在数以千计的受感染计算机(包括位于美国的计算机)上安装网络外壳。由于FBI需要删除的每个webshel??l都有唯一的文件路径和名称,因此与其他通用webshel??l相比,检测和删除它们可能更具挑战性。至于怎么清除,想必大家都知道了。毕竟带有WebShell的服务器基本都没有打最新的漏洞补丁。因此,FBI正试图向所有删除了黑客组织的Webshel??lAction通知的计算机所有者或操作者提供法院授权。对于那些有公开联系信息的受害者,FBI将从FBI官方电子邮件帐户(@FBI.gov)发送电子邮件通知受害者。对于那些联系信息未公开的受害者,FBI会从同一FBI电子邮件帐户向据信拥有联系信息的提供商(例如受害者的ISP)发送电子邮件,并要求他们通知受害者。4月13日,在FBI对WebShell的清除中,删除了一个早期黑客组织的WebShell。FBI通过WebShell向服务器发出删除服务器的命令。目的是让服务器只删除WebShell(通过其唯一的文件路径标识)。如下图,执行命令(此操作不代表其他WebShell的操作,仅针对一台服务器)https://webmail.[domain][.]net/aspnet_client/system_web/xxx.aspx:del/f“C:\inetpub\wwwroot\aspnet_client\system_web\xxx.aspx。此外,外媒近日爆料称,FBI在2016年聘请了一家公司解锁枪手的iPhone,但苹果拒绝合作。该公司是澳大利亚国防承包商AzimuthSecurity,Azimuth为美国、加拿大和英国政府生产黑客工具,并为FBI提供一系列用于解锁iPhone的IOS漏洞(Condor)。L3Harris现在归L3HarrisTechnologies所有,于2018年4月收购了Azimuth和LinchpinLabs。LinchpinLabs将向FBI、澳大利亚、英国和加拿大的情报部门提供漏洞利用。而FBI曾经从Azimuth那里拿到了针对Tor浏览器的攻击。可见不愧是FBI。
