首页保安FBI:从受感染的Exchange服务器中删除Web Shell,而无需通知它们...

FBI:在未通知所有者的情况下从受感染的Exchange服务器中删除Web Shell

休斯敦法院批准了一项FBI行动,旨在从美国数百个Microsoft Exchange电子邮件服务器中删除Web Shell,而无需事先通知其所有者。 FBI行动发生在四个黑客利用数月后 漏洞 以前未被发现的攻击数以千计的网络。 美国司法部(DoJ)宣布了对 13四月,称其为“成功”.

2月XNUMX日,Microsoft向Microsoft Exchange发布了一系列有关安全漏洞的更新,这些安全漏洞涉及被中国黑客团队利用的漏洞 “铪”。 这四个漏洞统称为 代理登录 并在XNUMX月和XNUMX月被恶意代理利用,以在受感染的Exchange服务器上安装Web Shell。 Web Shell提供对服务器的远程访问,黑客在其中使用它们来窃取电子邮件和帐户凭据。

阅读: Black Kingdom勒索软件:针对Microsoft Exchange服务器。 希腊在受害者中

黑客入侵后的几周内,政府机构发布了指令,微软发布了各种脚本和工具来帮助受害者确定他们是否受到威胁并删除了Web Shell。 同时,其他威胁也开始利用Microsoft Exchange中的漏洞进行针对性 安装勒索软件,cryptominers和其他Web Shell.

FBI:在未通知所有者的情况下从受感染的Exchange服务器中删除Web Shell
FBI:在未通知所有者的情况下从受感染的Exchange服务器中删除Web Shell

在13月XNUMX日发布的美国司法部(DoJ)新闻稿中,FBI表示已使用搜查令访问易受欺诈的Exchange服务器,复制Web Shell作为证据,然后从服务器中删除Web Shell。

FBI要求执行此逮捕令,是因为它认为仍然容易受到侵权的Web服务器所有者不具备自行将其删除的技术能力,并且Web外壳给受害者带来了极大的风险。 具体来说,警察局报告了以下内容: “根据我们的培训和经验,这些受害者中的大多数人不太可能删除其余的网络外壳,因为这些网络外壳由于其独特的文件名和路径而难以检测,或者因为这些受害者没有技术能力自行删除它们。 ”

也可以看看: DearCry勒索软件:针对未打补丁的Microsoft Exchange服务器

FBI担心通知这些服务器的所有者可能会危及企业的安全,因此要求将权证盖章,并将权证的通知推迟到企业完成之前。 FBI要求法院批准将通知延迟至9年2021月30日,即自9年2021月XNUMX日首次执行之日起XNUMX天,或直到FBI确定不再需要延迟通知为止。 他还要求在一天中的任何时间进行搜索,以避免被威胁的特工发现。

为了清理Microsoft Exchange服务器,FBI使用黑客使用的已知密码访问了Web Shell,并复制了Web Shell作为证据,然后执行了从其中卸载Web Shell的命令。

从受感染的服务器上卸载Web Shell的命令
从受感染的服务器上卸载Web Shell的命令

提案: FBI / CISA:注意! APT黑客针对Fortinet FortiOS服务器

尽管美国司法部将此次操作描述为“成功”,但联邦调查局表示,在此操作期间,仅删除了Web shell,未应用安全更新,也未删除任何可能已在服务器上安装了恶意代理的其他恶意软件。

FBI:在未通知所有者的情况下从受感染的Exchange服务器中删除Web Shell
FBI:在未通知所有者的情况下从受感染的Exchange服务器中删除Web Shell

FBI当前正在警告受害者在操作过程中访问过Exchange服务器的受害者。 FBI将通过其官方电子邮件帐户之一通过电子邮件发送这些通知 联邦调查局 如果没有可用的联系信息,它将使用Internet服务提供商(ISP)与受害者联系。

信息来源:bleepingcomputer.com

发表评论

请输入您发表评论!
请在此输入你的名字

Pohackontas
Pohackontashttps://www.secnews.gr
每一项成就都始于尝试的决定。
spot_img

实时新闻