情境示意圖,圖片來源/FBI

美國司法部周二(4/13)宣布,美國法院已經授權美國聯邦調查局(FBI)得以複製與移除在美國境內就地部署的微軟Exchange Server上的惡意Web Shells,這應該是美國史上第一次由官方主動自遠端移除組織惡意程式的行動。

此事牽涉到微軟於今年3月2日緊急修補的4個Exchange Server安全漏洞,當時,被統稱為ProxyLogon的CVE-2021-26855、CVE-2021-26857、CVE-2021-26858與CVE-2021-27065等漏洞已遭到駭客開採,主要目的為竊取私密郵件,並於系統上安裝惡意的Web Shells,以便長期存取。

不同的駭客組織不僅在今年1月與2月就開採了相關漏洞,在微軟於3月2日公布及修補漏洞之後,引來了更多的駭客組織,且攻擊目的從單純的竊取郵件,擴大至植入挖礦程式與勒索軟體。根據資安業者ESET的統計,截至3月10日便至少有10組以上的駭客鎖定ProxyLogon漏洞展開攻擊。

儘管微軟、資安業者、FBI與美國網路安全暨基礎架構安全署(CISA)都揭露了漏洞修補程序與指南,微軟亦釋出了惡意Web Shells的偵測工具,但美國司法部卻發現,雖然許多受感染系統的管理員已經成功移除數千臺電腦上的惡意Web Shells,但有些人顯然無法做到,依然留下了數百個惡意Web Shells。

在獲得法院的授權後,FBI即利用Web Shell發布命令至伺服器上,以讓伺服器移除該Web Shell,此次的行動所移除的,是遭到一個早期駭客組織所安裝的Web Shells,它們可用來作為未經授權的存取管道;由於FBI所移除的Web Shells都擁有獨立的檔案路徑與名稱,對於個別伺服器的所有人來說,要偵測與移除這樣的Web Shells可能更具挑戰,解釋了美國政府決定主動介入的原因。

不過,司法部強調,雖然該行動成功地複製與移除了這些Web Shells,但並未代替使用者修補ProxyLogon漏洞,也未移除駭客藉由開採這些Web Shells所植入的惡意程式或駭客工具,使用者依然要自行執行完整的移除與修補程序。

由於這次是FBI主動出擊,意謂著這些被駭的Exchange Server主人並不知情,因此FBI也嘗試通知已被移除惡意Web Shells的Exchange Server所有人,若有公開聯繫資訊的會透過電子郵件通知,若缺乏聯繫資訊的,則會藉由ISP業者或其它服務供應商進行通知。


熱門新聞

Advertisement