freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

勒索软件Epsilon Red:Microsoft Exchange服务器新威胁
2021-06-02 11:17:39

虽然Microsoft Exchange针对存在的代码漏洞一直更新补丁,但这并未能阻止网络黑客停手。最新发现,一种自称为 Epsilon Red的新型勒索软件,利用Microsoft Exchange服务器的系统漏洞对网络上的机器进行加密。在进入加密阶段之前,Epsilon Red勒索软件依赖于十几个脚本,同时还使用一个商业远程桌面实用程序。

易受攻击的Microsoft Exchange服务器

网络安全公司在调查一家遭到网络攻击的美国公司时,发现勒索软件Epsilon Red通过利用本地Microsoft Exchange服务器中未修补的漏洞实施入侵。经分析,攻击者可能利用ProxyLogon的一系列漏洞发起攻击。ProxyLogon系统漏洞已被网络黑客频繁利用,虽然92%易受攻击的Microsoft Exchange服务器针对代码漏洞都进行了更新,但这并没能阻止网络黑客继续实施破坏。

独特的工具套装

Epsilon Red是用Golang (Go)代码语言编写,前面有一组独特的PowerShell脚本,这些脚本为文件加密程序做准备,每个脚本都有特定的用途:

终止进程和服务安全工具、数据库备份程序,Office 应用程序,电子邮件客户端

删除卷影副本

窃取包含密码哈希值的安全帐户管理器 (SAM) 文件

删除 Windows 事件日志

禁用 Windows Defender

暂停进程

卸载安全工具(Sophos、Trend Micro、Cylance、MalwareBytes、Sentinel One、Vipre、Webroot)

扩展系统权限

大多数脚本编号为 1 到 12,但也有少数以单个字母命名。其中之一,c.ps1,似乎是渗透测试工具Copy-VSS的克隆。

图:Epsilon Red 勒索软件使用的 PowerShell 脚本

在攻破网络后,黑客通过RDP访问计算机,并使用Windows Management Instrumentation (WMI) 安装软件并运行 PowerShell 脚本,最终部署 Epsilon Red 可执行文件。他们还安装了一个远程实用程序(Remote Utilities)的副本和Tor Browser,此举是为了确保他们在无法通过初始入口进入时仍有备用入口。

图:EpsilonRed 勒索软件安装 Remote Utilities 软件

REvil 赎金票据模型

尽管这个版本的Epsilon Red看起来不够专业,但它对文件类型和文件夹进行加密没有限制。此外,它还包含来自开源工具 godirwalk 的代码,godirwalk 是一个用于遍历文件系统上的目录树的库。此功能使Epsilon Red能够扫描硬盘驱动器,并将目录路径添加到子进程的目标列表中,这些子进程分别对子文件夹进行加密,最后,受感染的机器会运行大量勒索程序副本。它会加密目标文件夹中附加后缀“.epsilonred”的所有内容,而不保留可能破坏基本程序,甚至操作系统的可执行文件或DLL。

同典型勒索方式,Epsilon Red会在每个处理过的文件夹中放上赎金说明,告知如何联系攻击者以协商数据解密价格。这份赎金说明是REvil 勒索软件赎金说明的改进版本,Epsilon Red努力纠正原始语法和拼写错误。

图:Epsilon Red 使用修改后的REvil赎金票据

尽管 Epsilon Red是勒索软件行业的新手,但他们已攻击多家公司并赚取一定赎金,该勒索软件威胁的一名受害者在5月15日向攻击者支付了4.28比特币(约21万美元)。

虽然网络技术趋于成熟,但这并不代表系统中存在的漏洞及背后代码编写同样完美。黑客们抓住任何一个漏洞出现的机会破坏系统发出勒索。网络技术需要安全稳健发展,在不断更新技术手段的同时,也要加强网络安全建设。软件安全是网络安全最基础的防线,加强软件安全,在软件开发阶段引入代码静态检测等手段,结合交付阶段的安全测试,可以有效降低系统漏洞,在完善软件功能的同时保障软件安全。

本文作者:, 转载请注明来自FreeBuf.COM

# 勒索软件 # 软件安全 # 代码漏洞检测工具 # 系统缺陷
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑