章鱼直播

当前位置:章鱼直播 > 设备一览

Sophos 发表遭骇 Exchange 服务器会攻击其他服务器最新研究成果

来源:http://dede.com 发布时间:2022-06-19 12:32 2819次浏览

在 3 月 2 日、9 日 Microsoft Exchange 漏洞被揭露以及紧急发布专属安全修补程序之后,越来越多的攻击者正在利用这些漏洞发起攻击。Sophos 先前就披露过和 等勒索软件造成的攻击。

Sophos 再次发表新的研究成果,《》,详细介绍合法开源门罗币挖矿程序 xmr-stak 的变种,已被安装在遭骇客入侵的 Exchange Server 上,并用于锁定其他尚未针对 ProxyLogon 漏洞进行修补的 Exchange Server。

攻击幕后者者将该新变种命名为“QuickCPU”,以让受害者误认为它是合法的开源 CPU 最优化工具 Quick CPU (但其实毫不相关)。

Sophos 首席威胁研究人员 Andrew Brandt 表示:“尽管利用 ProxyLogon Exchange 漏洞的攻击花了一周左右的时间才出现,但恶意加密挖矿程序可没这么有耐心。在漏洞被揭露,安全更新发布后的数小时内,骇客就攻击了尚未更新的服务器。不意外的,QuickCPU 是 xmr-stak 门罗币加密挖矿程序的变种,我们的分析显示 3 月 9 日时,挖矿的金流流向攻击者的门罗币钱包,此后攻击规模迅速缩减。这表示我们面对的是另一种快速编译、采机会主义和可能是实验性的攻击,试图在各界普遍修补漏洞之前赚点快钱。

“这种攻击与众不同的原因,是操作者会在已经被感染的 Exchange Server 上安装恶意加密挖矿程序,然后将该 Exchange Server 当成跳板,将恶意挖矿程序传播到其他受感染的服务器。攻击者使用了一连串标准反侦测技术,包括将恶意挖矿程序安装在内存中以躲避安全扫描,使用后删除安装和设定档,并使用传输层安全性协定加密的流量与他们的门罗币钱包通讯。结果,大多数电脑遭骇的第一个迹象多半是处理能力显著下降。尚未修补的服务器可能会被入侵一段很长的时间,然后才发现问题。

“安全部门应紧急安装 Microsoft 修补程序,以防止 Exchange Server 遭到滥用。但仅靠修补是不够的,企业还需要找出并解决更多不安全的弱点和漏洞,以防日后遭到攻击。例如,系统管理员应在 Exchange 服器上扫描后门命令接口 (Web Shell),并监控服务器上是否有不知从何而来的异常处理序。陌生处理序的 CPU 使用率高,很可能就是恶意加密挖矿或勒索软件的迹象。如果无法做到这一点,那麽请密切监视服务器,直到将 Exchange 资料移转到其他已经更新的服务器上,然后中断该未安装修补程序的服务器与因特网的连线。”

Sophos Intercept X 和 Sophos Intercept X with EDR 可以ProxyLogon Exchange 漏洞的威胁。 

详细了解 Sophos 对加密挖矿程序和其他锁定 ProxyLogon 漏洞的威胁的分析结果,请浏览 。

本文由:章鱼直播 提供

关键字: 章鱼直播-章鱼直播足球-章鱼直播平台

上一篇:低胸大眼妹“建国高卖玉兰花”网暴动! 本人是她!背后残酷事实曝光

下一篇:产后妊娠纹松垮困扰 医:腹部拉皮手术重振信心