2021年1月到2月，有黑客組織使用Microsoft Exchange郵件服務器軟件中的0day漏洞利用鏈(ProxyLogon)來訪問電子郵件賬戶，并在服務器放置WebShell進行遠程權(quán)限管理。

在漏洞和補丁發(fā)布后，其他黑客組織也于3月初開始效仿，紛紛針對Exchange服務器進行攻擊。

盡管許多受感染的系統(tǒng)所有者成功地從數(shù)千臺計算機中刪除了WebShell，但還是有數(shù)百個臺服務器上運行著WebShell。

因此美國司法部在2021年4月13日宣布了一項法院授權(quán)的行動，該行動將授權(quán)FBI從美國數(shù)百臺用于提供企業(yè)級電子郵件服務的Microsoft Exchange服務器中，先收集大量被攻陷的服務器，再將這些服務器上的WebShell進行拷貝，然后再刪除服務器上的惡意WebShell。

2021年3月2日，Microsoft宣布一個黑客組織使用多個零日漏洞來定位運行Microsoft Exchange Server軟件的計算機。其他各種黑客組織也利用這些漏洞在數(shù)千臺受害計算機(包括位于美國的受災計算機)上安裝了Web Shell。由于FBI需要刪除的WebShell每個都有唯一的文件路徑和名稱，因此與其他通用WebShell相比，檢測和清除它們可能更具挑戰(zhàn)性。至于如何進行清除，想必懂得都懂，畢竟存在WebShell的服務器基本沒有修補最新的漏洞補丁，因此......

FBI試圖向所有刪除了黑客組織Webshell的計算機的所有者或運營商提供法院授權(quán)操作的通知。對于那些擁有公開聯(lián)系信息的受害者，聯(lián)邦調(diào)查局將從官方FBI電子郵件帳戶(@ FBI.gov)發(fā)送電子郵件，以通知受害人。對于那些無法公開獲得聯(lián)系信息的受害者，F(xiàn)BI將從同一FBI電子郵件帳戶向被認為擁有聯(lián)系信息的提供商(例如受害者的ISP)發(fā)送一封電子郵件，并要求他們提供通知受害者。

而在4月13日的FBI清除WebShell行動中，刪除了一個早期黑客組織的Web Shell，F(xiàn)BI通過Web Shell向服務器發(fā)出命令進行了刪除，目的是讓服務器僅刪除Web Shell(由其唯一的文件路徑標識)。

如下圖所示，執(zhí)行命令(該操作不代表其他WebShell的操作，僅僅針對一個服務器)

https://webmail.[domain][.]net/aspnet_client/system_web/xxx.aspx: del /f “C:\inetpub\wwwroot\aspnet_client\system_web\xxx.aspx.

此外近期外媒爆料指出，F(xiàn)BI在2016年曾雇傭公司去解鎖一個槍手的iphone手機，當時蘋果公司拒不配合解鎖。該公司是澳大利亞國防承包商Azimuth Security，Azimuth為美國、加拿大和英國政府生產(chǎn)黑客工具，并向FBI提供了一系列的IOS漏洞利用(Condor)從而解鎖iPhone。如今為L3Harris Technologies旗下，L3Harris于2018年4月收購了Azimuth和Linchpin Labs。

而Linchpin Labs會向FBI，澳大利亞的情報服務以及英國和加拿大提供漏洞利用。而FBI曾經(jīng)從Azimuth獲得了針對Tor瀏覽器的攻擊。

可以看出，不愧是FBI。