据BleepingComputer2月16日消息,一种名为“ProxyShellMiner”的新型恶意软件正在利用MicrosoftExchangeProxyShell漏洞部署加密货币跨Windows域矿工。ProxyShell是微软在2021年发现并修复的三个Exchange漏洞的统称。当这些漏洞串联在一起时,可以允许未经身份验证的远程代码执行,从而使攻击者可以完全控制Exchange服务器并执行横向移动。攻击链概述在安全公司Morphisec发现的攻击中,攻击者利用被跟踪为CVE-2021-34473和CVE-2021-34523的ProxyShell漏洞来获得对目标组织网络的初始访问权限。接下来,攻击者将.NET恶意软件负载放入域控制器的NETLOGON文件夹中,以确保网络上的所有设备都在运行该恶意软件。激活恶意软件时,攻击者输入一个特殊的命令行参数,也称为XMRig矿工组件的密码。特殊命令行参数(Morphisec)在下一阶段,恶意软件会下载一个名为“DC_DLL”的文件并执行.NET反射以提取任务计划程序、XML和XMRig密钥的参数,该DLL文件用于解密其他文件。为了获得持久性,恶意软??件创建了一个计划任务,配置为在用户登录时自动运行,并远程下载第二个加载程序,该加载程序确定将使用哪个浏览器将挖矿木马植入内存空间,并使用一种称为进程挖空的技术从硬编码列表中随机选择一个矿池进行挖矿活动。攻击链的最后一步是创建防火墙规则以阻止所有传出流量,这适用于所有Windows防火墙配置文件。这使得受害者更不容易检测到感染标记或收到任何潜在危害的警报。添加防火墙规则以阻止所有传出流量(Morphisec)Morphisec警告说,挖掘恶意软件的影响超出了服务中断、服务器性能下降和设备过热的范围,一旦攻击者在网络中站稳脚跟,从后门部署到代码的任何事情都可能进一步恶化执行。为了应对ProxyShellMiner感染的风险,Morphisec建议所有系统管理员安装最新的安全更新并启用多方面的威胁检测和预防策略。
