Войти
ГлавнаястатьиТехнологии, компьютер и интернет

Хакеры используют уязвимости ProxyShell для заражения вирусами

Просмотрено 87 раз Добавлено 18 дней назад
Хакеры используют Proxy Shell уязвимости

В Microsoft Exchange активно экслуатируется набор уязвимостей, получивших название ProxyShell: хакеры постоянно ищут новых жертв. Жертвы находятся среди локальных установок Exchange, которые давно не обновляли.

ProxyShell включает три уязвимости. Одна позволяет обходить ACL, вторая — повышать привилегии в Exchange PowerShell Backend, а третья — записывать произвольные файлы и разворачивать RCE-атаки. В апреле исследователи из Devcore показали все эти уязвимости на конференции Pwn2Own, и Microsoft их оперативно пропатчила. Конечно, хакеры не менее оперативно начали искать уязвимые системы.

Исследователи из NCC Group развернули специальный сервер-приманку, до которого хакеры добрались, наглядно продемонстрировав, что и как они делают. Говорится о волне атак, в которой пострадало как минимум 30 тысяч машин.

Выглядит всё это дело так. Сначала хакеры кладут в папку /aspnet_client/ веб-шелл на С#, позволяющий грузить на сервер любые файлы. Через него уже загружают второй шелл и кладут два файла в C:\Windows\System32createhidetask.exe и ApplicationUpdate.exe. Второй шелл запускает createhidetask.exe, который создаёт задачу: каждую ночь запускать ApplicationUpdate.exe.

ApplicationUpdate.exe пока что просто тянет с удалённого сервера обычный бинарник.NET. Ожидается, естественно, что он начнёт тянуть что-то куда более неприятное, как только хакеры заразят достаточно машин.

В начале этого года были похожие атаки, получившие название ProxyLogon. Тогда хакеры крали с заражённых серверов данные и заражали их рансомварью. Скорее всего, сейчас будет что-то похожее.

Хакеры продолжают искать жертв, но вот и эксплойты активно посыпались. Замечены, например, ребята, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.

Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.

Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. Ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.

Знаем про утечки все! Поиск утечек и мониторинг даркнета.

Поделись с друзьями

Эдуард Шепел
Автор статьи
87
Приватный раздел статей
Мы отобрали статьи со всего интернета, чтобы вы смогли не только сэкономить свои деньги, но и заработать, а также множество других полезных материалов!
Статьи по теме
С чего начать изучение в Python
Добавлено 1 час назад
Как работают алгоритмы Инстаграм
Добавлено 1 день назад
​​Скрытая функция Telegram
Добавлено 1 день назад
Для чего нужны cookies
Добавлено 2 дня назад
Шифр Цезаря
Добавлено 3 дня назад
Как подделать метаданные в PDF
Добавлено 4 дня назад
Другие публикации автора
Недавно добавленные
С чего начать изучение в Python
Добавлено 1 час назад
Как работают алгоритмы Инстаграм
Добавлено 1 день назад
​​Скрытая функция Telegram
Добавлено 1 день назад
Для чего нужны cookies
Добавлено 2 дня назад
Шифр Цезаря
Добавлено 3 дня назад
Как подделать метаданные в PDF
Добавлено 4 дня назад
Нет комментариев
Будьте первым, кто оставит свое мнение!
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.
Войти через

Статьи

Знакомства, любовь, отношения
Путешествия и туризм
Технологии, компьютер и интернет
Технологии, компьютер и интернет

Сообщества

Все про автомобили
Свобода - чуть правее тормоза
IQ TEST
Прокачивай голову!
Интимные Факты
Секс - это наркотик
Правильное направление
Короновирус и не только
Лучшие игры на андройд
Наш рейтинг для вас 📲
Все про Телеграм
Каналы, чаты и боты
Цитаты
Великие слова, цитаты и афоризмы
Однажды в твoю жизнь пpидёт такoe cчаcтьe, чтo ты пoймёшь – oнo стoит всех твoих прoшлых пoтерь.