Войти
ГлавнаястатьиТехнологии, компьютер и интернет

Хакеры используют уязвимости ProxyShell для заражения вирусами

Просмотрено 368 раз Добавлено 8 месяцев назад
Хакеры используют Proxy Shell уязвимости

В Microsoft Exchange активно экслуатируется набор уязвимостей, получивших название ProxyShell: хакеры постоянно ищут новых жертв. Жертвы находятся среди локальных установок Exchange, которые давно не обновляли.

ProxyShell включает три уязвимости. Одна позволяет обходить ACL, вторая — повышать привилегии в Exchange PowerShell Backend, а третья — записывать произвольные файлы и разворачивать RCE-атаки. В апреле исследователи из Devcore показали все эти уязвимости на конференции Pwn2Own, и Microsoft их оперативно пропатчила. Конечно, хакеры не менее оперативно начали искать уязвимые системы.

Исследователи из NCC Group развернули специальный сервер-приманку, до которого хакеры добрались, наглядно продемонстрировав, что и как они делают. Говорится о волне атак, в которой пострадало как минимум 30 тысяч машин.

Выглядит всё это дело так. Сначала хакеры кладут в папку /aspnet_client/ веб-шелл на С#, позволяющий грузить на сервер любые файлы. Через него уже загружают второй шелл и кладут два файла в C:\Windows\System32createhidetask.exe и ApplicationUpdate.exe. Второй шелл запускает createhidetask.exe, который создаёт задачу: каждую ночь запускать ApplicationUpdate.exe.

ApplicationUpdate.exe пока что просто тянет с удалённого сервера обычный бинарник.NET. Ожидается, естественно, что он начнёт тянуть что-то куда более неприятное, как только хакеры заразят достаточно машин.

В начале этого года были похожие атаки, получившие название ProxyLogon. Тогда хакеры крали с заражённых серверов данные и заражали их рансомварью. Скорее всего, сейчас будет что-то похожее.

Хакеры продолжают искать жертв, но вот и эксплойты активно посыпались. Замечены, например, ребята, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.

Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.

Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. Ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.

Знаем про утечки все! Поиск утечек и мониторинг даркнета.

Поделись страницей

Эдуард Шепелев
Автор статьи
368
Приватный раздел статей
Мы отобрали статьи со всего интернета, чтобы вы смогли не только сэкономить свои деньги, но и заработать, а также множество других полезных материалов!
Статьи по теме
Другие публикации автора
Недавно добавленные
Нет комментариев
Будьте первым, кто оставит свое мнение!
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.
Войти через

Статьи

Технологии, компьютер и интернет
Знакомства, любовь, отношения
Технологии, компьютер и интернет
Наука и образование
Технологии, компьютер и интернет
Технологии, компьютер и интернет

Сообщества

Английский язык для всех
Изучение английского языка
Все про автомобили
Свобода - чуть правее тормоза
Реальный заработок в интернете
Проверенные способы заработка в интернете
Андройд хитрости
Лайхаки, хитрости, скрытые возможности, настройка андройд!
Хакинг
Взлом - это искусство
Советы вебмастеру
Помощь в создании своего уникального сайта
PC Programs
Лучшие программы для компьютера
Фильмы
Лучшие фильмы
Цитаты
Великие слова, цитаты и афоризмы
Чем больше мы побеждает, тем больше раздражаем остальных.