据BleepingComputer 2月16日消息,一种名为“ProxyShellMiner”的新型恶意软件正利用微软 Exchange ProxyShell 漏洞,在整个 Windows 域中部署加密货币矿工。
ProxyShell 是微软在 2021 年发现并修复的三个 Exchange 漏洞的统称。当这些漏洞链接在一起时,能够允许未经身份验证的远程代码执行,使攻击者可以完全控制 Exchange 服务器并进行横向移动。
攻击链概览
在由安全公司 Morphisec 发现的攻击中,攻击者利用被跟踪为 CVE-2021-34473 和 CVE-2021-34523 的 ProxyShell 漏洞来获得对目标组织网络的初始访问权限。接下来,攻击者将 .NET 恶意软件负载放入域控制器的 NETLOGON 文件夹中,以确保网络上的所有设备都运行恶意软件。
在激活恶意软件时,攻击者会输入一个特殊的命令行参数,该参数也被称为 XMRig 矿工组件的密码。
特殊命令行参数 (Morphisec)
在下一阶段,恶意软件下载名为“DC_DLL”的文件并执行 .NET 反射以提取任务计划程序、XML 和 XMRig 密钥的参数,DLL 文件用于解密其他文件。
为了获得持久性,恶意软件创建一个配置为在用户登录时就会自动运行的计划任务,并从远程下载第二个加载程序,该程序将决定通过哪一个浏览器把挖矿木马植入内存空间,并使用一种称为process hollowing(进程挖空)的技术,从硬编码列表中随机选择一个矿池进行挖矿活动。
攻击链的最后一步是创建一个防火墙规则来阻止所有传出流量,该规则适用于所有 Windows 防火墙配置文件。这样能让受害者不太容易检测到感染标记或收到有潜在危害的任何警报。
添加防火墙规则以阻止所有传出流量 (Morphisec)
Morphisec 警告称,挖矿恶意软件的影响不仅仅是导致服务中断、服务器性能下降和设备过热,一旦攻击者在网络中站稳脚跟,就可以进一步实施从后门部署到代码执行的任何操作。
为了应对 ProxyShellMiner 感染的风险,Morphisec 建议所有系统管理员安装最新的安全更新,并启用多方面的威胁检测和防御策略。