Войти
ГлавнаястатьиТехнологии, компьютер и интернет

Хакеры используют уязвимости ProxyShell для заражения вирусами

Просмотрено 638 раз Добавлено 1 год назад
Хакеры используют Proxy Shell уязвимости

В Microsoft Exchange активно экслуатируется набор уязвимостей, получивших название ProxyShell: хакеры постоянно ищут новых жертв. Жертвы находятся среди локальных установок Exchange, которые давно не обновляли.

ProxyShell включает три уязвимости. Одна позволяет обходить ACL, вторая — повышать привилегии в Exchange PowerShell Backend, а третья — записывать произвольные файлы и разворачивать RCE-атаки. В апреле исследователи из Devcore показали все эти уязвимости на конференции Pwn2Own, и Microsoft их оперативно пропатчила. Конечно, хакеры не менее оперативно начали искать уязвимые системы.

Исследователи из NCC Group развернули специальный сервер-приманку, до которого хакеры добрались, наглядно продемонстрировав, что и как они делают. Говорится о волне атак, в которой пострадало как минимум 30 тысяч машин.

Выглядит всё это дело так. Сначала хакеры кладут в папку /aspnet_client/ веб-шелл на С#, позволяющий грузить на сервер любые файлы. Через него уже загружают второй шелл и кладут два файла в C:\Windows\System32createhidetask.exe и ApplicationUpdate.exe. Второй шелл запускает createhidetask.exe, который создаёт задачу: каждую ночь запускать ApplicationUpdate.exe.

ApplicationUpdate.exe пока что просто тянет с удалённого сервера обычный бинарник.NET. Ожидается, естественно, что он начнёт тянуть что-то куда более неприятное, как только хакеры заразят достаточно машин.

В начале этого года были похожие атаки, получившие название ProxyLogon. Тогда хакеры крали с заражённых серверов данные и заражали их рансомварью. Скорее всего, сейчас будет что-то похожее.

Хакеры продолжают искать жертв, но вот и эксплойты активно посыпались. Замечены, например, ребята, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.

Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.

Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. Ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.

Знаем про утечки все! Поиск утечек и мониторинг даркнета.

Поделись страницей

Эдуард Шепелев
Автор статьи
638
Приватный раздел статей
Мы отобрали статьи со всего интернета, чтобы вы смогли не только сэкономить свои деньги, но и заработать, а также множество других полезных материалов!
Статьи по теме
Другие публикации автора
Недавно добавленные
Нет комментариев
Будьте первым, кто оставит свое мнение!
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.
Войти через

Статьи

Сообщества

Лучшие игры на андройд
Наш рейтинг для вас 📲
Наука
Наука для лучшей жизни
Все про Яндекс Дзен
О том как раскрутить канал в Дзен
IQ TEST
Прокачивай голову!
Веб-программирование
Я уже более 20 лет пишу код для веба.
Онлайн игры с выводом денег 🎮
Проверенные онлайн игры которые платят деньги!
Цитаты
Великие слова, цитаты и афоризмы
Есть такие минуты, когда мужчина говорит женщине больше того, что ей следует знать о нем. Он сказал — и забыл, а она помнит.
(Лев Николаевич Толстой)