Войти
ГлавнаястатьиТехнологии, компьютер и интернет

Хакеры используют уязвимости ProxyShell для заражения вирусами

Просмотрено 572 раза Добавлено 13 месяцев назад
Хакеры используют Proxy Shell уязвимости

В Microsoft Exchange активно экслуатируется набор уязвимостей, получивших название ProxyShell: хакеры постоянно ищут новых жертв. Жертвы находятся среди локальных установок Exchange, которые давно не обновляли.

ProxyShell включает три уязвимости. Одна позволяет обходить ACL, вторая — повышать привилегии в Exchange PowerShell Backend, а третья — записывать произвольные файлы и разворачивать RCE-атаки. В апреле исследователи из Devcore показали все эти уязвимости на конференции Pwn2Own, и Microsoft их оперативно пропатчила. Конечно, хакеры не менее оперативно начали искать уязвимые системы.

Исследователи из NCC Group развернули специальный сервер-приманку, до которого хакеры добрались, наглядно продемонстрировав, что и как они делают. Говорится о волне атак, в которой пострадало как минимум 30 тысяч машин.

Выглядит всё это дело так. Сначала хакеры кладут в папку /aspnet_client/ веб-шелл на С#, позволяющий грузить на сервер любые файлы. Через него уже загружают второй шелл и кладут два файла в C:\Windows\System32createhidetask.exe и ApplicationUpdate.exe. Второй шелл запускает createhidetask.exe, который создаёт задачу: каждую ночь запускать ApplicationUpdate.exe.

ApplicationUpdate.exe пока что просто тянет с удалённого сервера обычный бинарник.NET. Ожидается, естественно, что он начнёт тянуть что-то куда более неприятное, как только хакеры заразят достаточно машин.

В начале этого года были похожие атаки, получившие название ProxyLogon. Тогда хакеры крали с заражённых серверов данные и заражали их рансомварью. Скорее всего, сейчас будет что-то похожее.

Хакеры продолжают искать жертв, но вот и эксплойты активно посыпались. Замечены, например, ребята, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.

Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.

Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. Ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.

Знаем про утечки все! Поиск утечек и мониторинг даркнета.

Поделись страницей

Эдуард Шепелев
Автор статьи
572
Приватный раздел статей
Мы отобрали статьи со всего интернета, чтобы вы смогли не только сэкономить свои деньги, но и заработать, а также множество других полезных материалов!
Статьи по теме
Стартап от Harley-Davidson
Добавлено 4 месяца назад
​Очищаем динамики телефона от воды!
Добавлено 6 месяцев назад
Как изменить шрифт на Android
Добавлено 8 месяцев назад
Дуров снова критикует WhatsApp
Добавлено 8 месяцев назад
Другие публикации автора
Недавно добавленные
Нет комментариев
Будьте первым, кто оставит свое мнение!
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.
Войти через

Статьи

Сообщества

Необычные группы Вконтакте
Необычные паблики:)
IQ TEST
Прокачивай голову!
Цитаты великих людей
Великие мысли знаменитых людей
Наука и техника
Наука не всегда скучная
Все о парсинге данных
Сбор информации с сайтов и других источников
Мудрые временем
Полезная мотивация и цитаты на каждый день
Слив данных
Многое доступно:)
Тревожные новости
Все происходит не так как нужно
Цитаты
Великие слова, цитаты и афоризмы
А ведь cлучайных вcтpeч не бывает... Это или иcпытание... Или нaказание… Или пoдаpoк cудьбы.