據(jù)BleepingComputer 2月16日消息，一種名為“ProxyShellMiner”的新型惡意軟件正利用微軟 Exchange ProxyShell 漏洞，在整個(gè) Windows 域中部署加密貨幣礦工。

ProxyShell 是微軟在 2021 年發(fā)現(xiàn)并修復(fù)的三個(gè) Exchange 漏洞的統(tǒng)稱(chēng)。當(dāng)這些漏洞鏈接在一起時(shí)，能夠允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行，使攻擊者可以完全控制 Exchange 服務(wù)器并進(jìn)行橫向移動(dòng)。

攻擊鏈概覽

在由安全公司 Morphisec 發(fā)現(xiàn)的攻擊中，攻擊者利用被跟蹤為 CVE-2021-34473 和 CVE-2021-34523 的 ProxyShell 漏洞來(lái)獲得對(duì)目標(biāo)組織網(wǎng)絡(luò)的初始訪(fǎng)問(wèn)權(quán)限。接下來(lái)，攻擊者將 .NET 惡意軟件負(fù)載放入域控制器的 NETLOGON 文件夾中，以確保網(wǎng)絡(luò)上的所有設(shè)備都運(yùn)行惡意軟件。

在激活?lèi)阂廛浖r(shí)，攻擊者會(huì)輸入一個(gè)特殊的命令行參數(shù)，該參數(shù)也被稱(chēng)為 XMRig 礦工組件的密碼。

特殊命令行參數(shù) （Morphisec）

在下一階段，惡意軟件下載名為“DC_DLL”的文件并執(zhí)行 .NET 反射以提取任務(wù)計(jì)劃程序、XML 和 XMRig 密鑰的參數(shù)，DLL 文件用于解密其他文件。

為了獲得持久性，惡意軟件創(chuàng)建一個(gè)配置為在用戶(hù)登錄時(shí)就會(huì)自動(dòng)運(yùn)行的計(jì)劃任務(wù)，并從遠(yuǎn)程下載第二個(gè)加載程序，該程序?qū)Q定通過(guò)哪一個(gè)瀏覽器把挖礦木馬植入內(nèi)存空間，并使用一種稱(chēng)為process hollowing（進(jìn)程挖空）的技術(shù)，從硬編碼列表中隨機(jī)選擇一個(gè)礦池進(jìn)行挖礦活動(dòng)。

攻擊鏈的最后一步是創(chuàng)建一個(gè)防火墻規(guī)則來(lái)阻止所有傳出流量，該規(guī)則適用于所有 Windows 防火墻配置文件。這樣能讓受害者不太容易檢測(cè)到感染標(biāo)記或收到有潛在危害的任何警報(bào)。

添加防火墻規(guī)則以阻止所有傳出流量 (Morphisec)

Morphisec 警告稱(chēng)，挖礦惡意軟件的影響不僅僅是導(dǎo)致服務(wù)中斷、服務(wù)器性能下降和設(shè)備過(guò)熱，一旦攻擊者在網(wǎng)絡(luò)中站穩(wěn)腳跟，就可以進(jìn)一步實(shí)施從后門(mén)部署到代碼執(zhí)行的任何操作。

為了應(yīng)對(duì) ProxyShellMiner 感染的風(fēng)險(xiǎn)，Morphisec 建議所有系統(tǒng)管理員安裝最新的安全更新，并啟用多方面的威脅檢測(cè)和防御策略。