共计 1866 个字符,预计需要花费 5 分钟才能阅读完成。
越南独立平安钻研人员 Nguyen Jan,针对 Microsoft Exchange 服务器中称为 ProxyLogon 的一组破绽,公布了一个功能性的「概念验证公共破绽」利用程序,也就是说,他在 Microsoft 领有的凋谢源代码平台上公布了可用于黑客攻击微软客户的代码。
尽管该代码不能「开箱即用」,然而能够很容易地通过调整变成黑客入侵的工具。
随着该代码的一直流传,越来越多的黑客发现了这组破绽,当初曾经发现了至多 10 组黑客对包含欧洲银行业管理局、中东政府机构、南美政府机构的 115 个国家和地区的数十万多台服务器进行的攻打。
总部位于斯洛伐克的网络安全公司 ESET 确认了六个黑客组织:
- f:总部设在中国,该组织已在 1 月初开始利用这些破绽。
- Tick(也称为 Bronze Butler 和 RedBaldKnight):2 月 28 日,即 Microsoft 公布补丁程序的前两天,该组织利用这些破绽毁坏了一家东亚 IT 服务公司的 Web 服务器。自 2018 年以来,Tick 始终很沉闷,次要针对日本的组织,也针对韩国,俄罗斯和新加坡的组织。
- LuckyMouse(APT27 和 Emissary Panda):3 月 1 日,这个网络特务组织曾经毁坏了中亚和中东的多个政府网络,并毁坏了中东一个政府实体的电子邮件服务器。
- Calypso(与 Xpath 有分割):3 月 1 日,该组织入侵了中东和南美政府机构的电子邮件服务器。在接下来的几天里,它持续针对非洲,亚洲和欧洲的组织。Calypso 的指标是这些地区的政府组织。
- Websiic:3 月 1 日,这个 EPT 从未见过的 APT 瞄准了属于 IT,电信和工程畛域的七家亚洲公司和东欧一个政府机构的邮件服务器。
- Winnti(又名 APT 41 和 Barium):在 Microsoft 于 3 月 2 日公布紧急补丁程序的几个小时前,ESET 数据显示该组织侵害了一家都位于东亚的石油公司和建筑设备公司的电子邮件服务器。
代码被删除,作者仅收到一封邮件
在给作者发了一封邮件后,微软旗下的 GitHub 删除了这组代码。
GitHub 发言人示意:「咱们明确,公布和散发概念验证破绽代码对平安社区具备教育和钻研价值,咱们的指标是均衡这种利益和放弃更宽泛的生态系统的平安,依据咱们的可承受应用政策,在有报道称 gist 蕴含最近披露的一个正在被踊跃利用的破绽的概念验证代码后,咱们禁用了 gist。」
作者示意:「删除代码是能够的,他公布的代码并不是「开箱即用」,而是须要进行一些调整。不过他的代码是依据实在的 PoC 写进去的,所以会对真正钻研这个 Bug 的人有所帮忙。发博文的起因是正告大家这个 bug 的关键性,让他们在危险降临之前,给本人的服务器打上最初一次补丁的机会!」
其实作者的做法十分失常,因为包含谷歌精英黑客团队 Project Zero 在内的平安钻研人员,常常会公布概念验证的利用代码,以展现破绽如何被滥用,这种做法的目标就是教育社区中的其他人,分享常识。
3 月 2 日,Microsoft 公布了 紧急带外安全更新,这些更新总共解决了四个零日问题(CVE-2021-26855,CVE-2021-26857,CVE-2021-26858 和 CVE-2021-27065)在过来三天内有数以万计的 Microsoft Exchange 服务器进行了修补。可怜的是,依然有大概 80,000 台较旧的服务器无奈间接利用最新的安全更新,强烈建议所有组织尽快利用补丁。
攻打原理
能找到这个勒索上 VirusTotal [三个样品 1,2,3],所有这些都是 MingW 平台编译的可执行文件。剖析的一个蕴含以下 PDB 门路:
启动后,DearCry 勒索软件将尝试敞开名为“msupdate”的 Windows 服务。不晓得此服务是什么,但它仿佛不是非法的 Windows 服务。
敞开 msupdate 服务的代码
勒索软件开始对计算机上的文件进行加密。加密文件时,它将在文件名后附加.CRYPT 扩展名,如下所示。
DearCry 加密文件
勒索软件应用 AES-256 + RSA-2048 加密文件并增加“DEARCRY!”字样。每个加密文件结尾的字符串。
加密文件中的 DEARCRY 文件标记
加密计算机后,勒索软件将在 Windows 桌面上创立一个简略的勒索便笺,名为“readme.txt”。该赎金记录蕴含两个威逼行为者的电子邮件地址和一个惟一的哈希,Gillespie 指出这是 RSA 公钥的 MD4 哈希。
DearCry 赎金记录
越南独立平安钻研人员 Nguyen Jan 公布破绽的博文:
https://testbnull.medium.com/…