行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
FBI代理从被黑客入侵的Microsoft Exchange服务器中秘密删除了Web Shell
2021-04-14 13:09:50 【

美国司法部(DoJ)周二表示,联邦调查局特工执行了一项法院授权的网络操作,以从其所有者不为人知的美国数百个以前被黑客入侵的Microsoft Exchange服务器中删除恶意Web外壳。

在1月份在全球范围内发生了针对Exchange Server安装的大规模狂野零日攻击浪潮之后,精明的组织争先恐后地锁定易受攻击的Microsoft电子邮件服务器并删除攻击者安装的Web Shell。

在Microsoft观察到的早期攻击中,攻击者能够利用一系列漏洞来访问本地Exchange服务器,从而可以访问电子邮件帐户,并允许安装其他恶意软件以促进对受害环境的长期访问。

不幸的是,许多组织无法修补系统和/或删除已安装的相关恶意软件。

FBI似乎是此类活动中的第一个已知操作,“ FBI删除了一个早期的黑客小组剩余的Web Shell,这些Web Shell可以用来维护和升级对美国网络的持久,未经授权的访问。”

根据法院文件,FBI代理通过通过Web Shell向服务器发出命令来删除Web Shell,该命令旨在使服务器仅删除Web Shell(由其唯一的文件路径标识)。

美国司法部解释说:“由于FBI拆除的每个Web外壳都有唯一的文件路径和名称,因此对于个人服务器所有者来说,检测和清除它们可能比其他Web外壳更具挑战性。”

尽管FBI代理复制并删除了Web外壳程序,使攻击者可以后门访问服务器,但组织可能还不清楚。

司法部说:“这项操作成功地复制和删除了这些网络外壳。” “但是,它没有修补任何Microsoft Exchange Server零日漏洞,也没有搜索或删除黑客团体通过利用Web Shell可能放置在受害网络上的任何其他恶意软件或黑客工具。”

尽管微软在一月份将最初的攻击归因于与中国有关联的HAFNIUM威胁参与者,但在公布了Exchange漏洞之后不久多个黑客组织纷纷跟进

HAFNIUM主要针对美国多个行业的实体,包括传染病研究人员,律师事务所,高等教育机构,国防承包商,政策智囊团和非政府组织。

在完成大部分工作之后,FBI现在正试图通知其清除Web Shell的计算机的所有者或操作员。

仍然认为自己的Microsoft Exchange Server仍然受到威胁的组织应联系当地的FBI外地办事处以寻求帮助。

该操作涉及的公司/组织名称和IP地址已从公开的法院文件中删除

本月Patch Tuesday捆绑包中修复了Exchange Server中的四个新的重要安全漏洞之时,该操作才得以揭晓。由于其他问题的严重性,Microsoft与美国国家安全局(NSA)合作,敦促立即部署新修补程序。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇对比几种CC防护方式的效果,你用.. 下一篇黑客针对Microsoft Office和Adobe..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800