黑客利用Exchange漏洞传播新型勒索病毒

漏洞简介

2021年3月2日,微软发布Microsoft Exchange Server多个紧急安全更新公告,涉及相关7个高危漏洞。根据微软官方统计,目前发现已有4个漏洞被用于攻击,分别为:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。其他几个暂时未发现被利用进行攻击。

Exchange Server是微软公司提供关于电子邮件服务组件,同时也是一个协作平台,提供开发工作流、知识管理系统、web系统或者其他消息系统。根据网络空间测绘数据显示,中国地区安装Exchangge Server服务套件已超180000台,中国大陆地区安装Exchange Server服务套件前五地区分别为广东、上海、北京、江苏、四川等地。

此次受影响Exchange版本如下:

相应的补丁下载地址:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

上述链接的补丁使用于如下版本的Exchange Server:

Exchange Server2010(SP3/SP3RU)

Exchange Server2013(CU23)

Exchange Server2016(CU19/CU18)

Exchange Server20019(CU18/CU7)

其它补丁可以参考微软官网补丁修补方案,如下:

同时微软发布的一款免费的Exchange漏洞检测工具,下载地址:

https://github.com/microsoft/CSS-Exchange/tree/main/Security

攻击事件

国外安全研究人员Michael Gillespie在其网站ID Ransomware上,收到多个受害者上传的勒索病毒样本,如下所示:

在国外某社论网站上公布了相关的勒索病毒攻击事件,如下所示:

同时微软官方也证实了确实有一批黑客正在对未打补丁的Exchange服务器发起攻击,并安装新型勒索病毒Dearcry,如下所示:

样本分析

1.勒索病毒的PDB信息,如下所示:

PDB路径信息:C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile

-svcV2\Release\EncryptFile.exe.pdb

2.勒索病毒会读取硬编码在样本中的RSA密钥,如下所示:

RSA密钥信息,如下所示:

3.遍历磁盘目录,在每个目录下生成勒索提示信息文件readme.txt,如下所示:

生成的勒索提示信息文件,内容如下所示:

黑客的邮箱地址:

konedieyp@airmail.cc、uenwonken@memail.com

4.遍历文件,然后加密文件,如下所示:

5.生成的每个文件的加密后缀为CRYPT,如下所示:

6.加密后的文件,如下所示:

7.加密文件的过程,如下所示:

使用的加密算法为开源OpenSSL EVP加密算法,算法的源代码地址:

https://code.woboq.org/crypto/openssl/crypto/evp/evp_enc.c.html

8.只对特定的文件后缀名的文件进行加密,相关的文件后缀名,如下所示:

从捕获的样本信息来看,样本的编译时间是2021年3月9日,如下所示:

事件总结

2021年3月2日,微软发布Microsoft Exchange Server多个紧急安全更新公告,3月9日,黑客组织就编译了新型的勒索病毒样本,然后利用漏洞开始传播,也就在同一天的时间里Michael Gillespie在其网站ID Ransomware上收到了多个不同国家的受害者上传的勒索病毒样本,然后3月12日,微软也证实了一些黑客组织确实在利用Exchange漏洞传播勒索病毒,所以可以猜测黑客组织有可能是利用Exchange漏洞在全球范围内进行了批量的扫描,然后对存在漏洞的服务器植入了Dearcry勒索病毒。

从上面的攻击行动可以发现,黑客组织针对全球的网络攻击活动从未停止过,网络安全威胁形势非常严峻,各种恶意软件更是无处不在,黑客组织也不在不断更新开发新型的恶意软件,前不久在某暗网网站上公布了几款全球主流的勒索病毒的受害者数据的暗网网站信息,如下所示:

  • 22
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
项目名称:Java中的简单游戏和应用程序 项目简介: 简单游戏和应用程序是一个Java项目。该项目包含23个不同的Java制作的应用程序和游戏。项目中还包括记事本、拼图等简单应用程序。这是一个单框架程序,你可以选择并运行你希望运行的程序。要运行此项目,你必须在系统上安装JDK路径。 项目简介: 这是一个简单的游戏和应用程序集合,由不同的Java应用程序组成,使该项目独特。你可以选择要运行的程序。如果你想运行记事本,只需在应用程序中点击选项。在记事本中,你可以轻松进行写作,可以处理任何你想要的文本样式。 此外,该项目还包括游戏和测验,例如井字棋和拼图游戏。项目中还提供了字数统计功能。你可以输入任意多的文本,之后可以统计段落中的字数。你还可以玩数独和太空侵略者游戏。不仅如此,你还可以在这个项目中运行不同的应用程序。 项目功能: 记事本:进行文本写作和格式处理。 拼图游戏:挑战你的智力。 井字棋:经典的两人游戏。 字数统计:统计输入文本的字数。 数独:经典的数字填空游戏。 太空侵略者:经典的射击游戏。 其他应用程序和游戏:总计23个不同的程序。 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

熊猫正正

请我喝杯咖啡吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值