FBI“合法清除”被攻击的Exchange服务器WebShell

安全
FBI被授权可以先收集大量被攻陷的服务器,再将这些服务器上的WebShell进行拷贝,然后再删除服务器上的恶意WebShell。

2021年1月到2月,有黑客组织使用Microsoft Exchange邮件服务器软件中的0day漏洞利用链(ProxyLogon)来访问电子邮件账户,并在服务器放置WebShell进行远程权限管理。

在漏洞和补丁发布后,其他黑客组织也于3月初开始效仿,纷纷针对Exchange服务器进行攻击。

尽管许多受感染的系统所有者成功地从数千台计算机中删除了WebShell,但还是有数百个台服务器上运行着WebShell。

因此美国司法部在2021年4月13日宣布了一项法院授权的行动,该行动将授权FBI从美国数百台用于提供企业级电子邮件服务的Microsoft Exchange服务器中,先收集大量被攻陷的服务器,再将这些服务器上的WebShell进行拷贝,然后再删除服务器上的恶意WebShell。

2021年3月2日,Microsoft宣布一个黑客组织使用多个零日漏洞来定位运行Microsoft Exchange Server软件的计算机。其他各种黑客组织也利用这些漏洞在数千台受害计算机(包括位于美国的受灾计算机)上安装了Web Shell。由于FBI需要删除的WebShell每个都有唯一的文件路径和名称,因此与其他通用WebShell相比,检测和清除它们可能更具挑战性。至于如何进行清除,想必懂得都懂,毕竟存在WebShell的服务器基本没有修补最新的漏洞补丁,因此......

FBI试图向所有删除了黑客组织Webshell的计算机的所有者或运营商提供法院授权操作的通知。对于那些拥有公开联系信息的受害者,联邦调查局将从官方FBI电子邮件帐户(@ FBI.gov)发送电子邮件,以通知受害人。对于那些无法公开获得联系信息的受害者,FBI将从同一FBI电子邮件帐户向被认为拥有联系信息的提供商(例如受害者的ISP)发送一封电子邮件,并要求他们提供通知受害者。

而在4月13日的FBI清除WebShell行动中,删除了一个早期黑客组织的Web Shell,FBI通过Web Shell向服务器发出命令进行了删除,目的是让服务器仅删除Web Shell(由其唯一的文件路径标识)。

如下图所示,执行命令(该操作不代表其他WebShell的操作,仅仅针对一个服务器)

https://webmail.[domain][.]net/aspnet_client/system_web/xxx.aspx: del /f “C:\inetpub\wwwroot\aspnet_client\system_web\xxx.aspx.

此外近期外媒爆料指出,FBI在2016年曾雇佣公司去解锁一个枪手的iphone手机,当时苹果公司拒不配合解锁。该公司是澳大利亚国防承包商Azimuth Security,Azimuth为美国、加拿大和英国政府生产黑客工具,并向FBI提供了一系列的IOS漏洞利用(Condor)从而解锁iPhone。如今为L3Harris Technologies旗下,L3Harris于2018年4月收购了Azimuth和Linchpin Labs。

而Linchpin Labs会向FBI,澳大利亚的情报服务以及英国和加拿大提供漏洞利用。而FBI曾经从Azimuth获得了针对Tor浏览器的攻击。

可以看出,不愧是FBI。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2013-05-21 09:42:57

2013-05-22 15:45:43

2021-03-18 09:31:56

微软Exchange攻击

2009-08-14 10:22:50

2018-03-19 08:46:52

2021-04-16 10:31:41

FBI漏洞黑客

2021-01-25 10:45:10

DDoSRDP服务器Windows

2009-08-27 10:06:49

2009-03-04 06:30:00

DHCP服务器企业服务器

2018-05-04 12:22:47

2013-05-22 15:26:24

2021-07-28 14:35:54

区块链服务器DDoS

2011-03-15 16:57:15

2018-04-09 09:31:39

2022-02-27 12:46:17

勒索软件黑客网络攻击

2010-05-19 16:41:40

2011-08-01 09:47:56

Exchange服务器服务器

2018-03-15 08:25:53

2012-07-05 10:07:57

美国FBI关闭服务器

2022-11-16 09:47:39

点赞
收藏

51CTO技术栈公众号