概述

近期，安全研究人員發(fā)現(xiàn)了一種針對(duì)Microsoft Exchange服務(wù)器的惡意軟件，而且這款惡意軟件甚至還可以執(zhí)行Windows域加密。這款惡意軟件名為L(zhǎng)ockFile，本質(zhì)上它是一款勒索軟件，當(dāng)前變種主要利用的是ProxyShell漏洞。

關(guān)于LockFile勒索軟件

根據(jù)研究人員透露的信息，七月份出現(xiàn)了一份與LockFile勒索軟件有關(guān)的勒索信息，這份勒索信息其名稱已標(biāo)識(shí)為“LOCKFILE-README.hta”，但并沒(méi)有其他的明顯標(biāo)記了。而這個(gè)勒索軟件團(tuán)伙從上周開始改變了他們的策略，并開始使用帶有Logo的勒索信息，并自稱他們名為L(zhǎng)ockFile。

“[victim_name]-LOCKFILE-README.hta”這種命名規(guī)范是網(wǎng)絡(luò)犯罪分子在特定勒索信息中所采用的慣用命名約定，并在勒索信息中告知目標(biāo)用戶如何參與和進(jìn)行贖金談判。LockFile勒索軟件團(tuán)伙使用的郵件地址如下：contact@contipauper.com。

我們可以看到，勒索信息中所采用的顏色樣式和電子郵件地址名稱與Conti勒索軟件相似。盡管如此，從攻擊策略和寫作方法來(lái)看，LockFile和Conti其實(shí)并無(wú)關(guān)聯(lián)。

因?yàn)椋琇ockFile不僅顯示出與Conti的相似性，而且還顯示出了與LockBit勒索軟件的相似性。

新型的LockFile勒索軟件使用了“.lockfile”作為被加密文件的后綴名。

那么，LockFile是如何使用ProxyShell漏洞的呢?根據(jù)賽門鐵克的說(shuō)法，網(wǎng)絡(luò)犯罪分子可以利用ProxySheel漏洞訪問(wèn)Microsoft Exchange的內(nèi)部部署服務(wù)器，并利用PetitPotam漏洞接管目標(biāo)Windows域。

ProxyShell到底是什么?

ProxyShell實(shí)際上是由三個(gè)漏洞組成的，分為別CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。前兩個(gè)漏洞分別在4月份由KB5*001779修復(fù)，最后一個(gè)漏洞在5月份由KB5*003435修補(bǔ)。攻擊者可以利用這些漏洞攻擊Microsoft Exchange，并在目標(biāo)服務(wù)器上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

這三個(gè)漏洞所帶來(lái)的危害如下：

• 通過(guò)這些漏洞，攻擊者可以繞過(guò)ACL檢測(cè);
• 攻擊者可以在Exchange PowerShell后端實(shí)現(xiàn)提權(quán);
• 攻擊者可以在目標(biāo)設(shè)備上實(shí)現(xiàn)任意代碼執(zhí)行;

通過(guò)利用這些ProxyShell漏洞，攻擊者能夠掃描并攻擊Microsoft Exchange服務(wù)器，并在目標(biāo)服務(wù)器上投放Web Shell，然后實(shí)現(xiàn)惡意軟件感染。

除此之外，研究人員還發(fā)現(xiàn)Lockfile勒索軟件使用了ProxyShell漏洞和Windows PetitPotam漏洞來(lái)在Windows域上執(zhí)行加密任務(wù)。廣大用戶可以通過(guò)以下查詢來(lái)掃描ProxyShell漏洞：

如何抵御Lockfile勒索軟件?

為了緩解ProxyShell漏洞所帶來(lái)的安全風(fēng)險(xiǎn)，我們建議廣大用戶盡快更新自己的Microsoft Exchange版本。

為了緩解PetitPotam漏洞的影響，廣大用戶可以使用0patch的補(bǔ)丁(這是一種非官方的漏洞環(huán)節(jié)措施)。