上周,我们报道了自 7 月以来针对 Microsoft Exchange 服务器的 LockFile 勒索软件。本周,有关该威胁的更多信息浮出水面,提供了有关攻击级别的新细节。
Sophos 的安全研究人员表示,LockFile 一直通过利用平台中的 ProxyShell 缺陷来瞄准易受攻击的 Microsoft Exchange 服务器。它使用“间歇性加密”攻击来远离安全工具。
Sophos 的研究人员在 7 月发现了这个新兴威胁,它利用 Microsoft Exchange 服务器中的 ProxyShell 漏洞来攻击系统。
具体来说,LockFile 对文件的每 16 个字节进行加密,这意味着许多反勒索软件服务无法检测到它。事实上,Sophos 指出,这种方法允许加密文件看起来类似于未加密的文件。
攻击
“我们以前从未在勒索软件攻击中使用过间歇性加密,” Sophos 下一代技术工程总监 Mark Loman 写道。
尽管采用了新颖的攻击方法,但 LockFile 确实与其他勒索软件有一些相似之处。例如,它不需要访问命令和控制来进行通信和隐藏。
“与WastedLocker和Maze勒索软件一样,LockFile 勒索软件使用内存映射输入/输出(I/O)来加密文件,” Loman 在报告中写道。“这项技术允许勒索软件透明地加密内存中的缓存文档,并导致操作系统写入加密文档,而检测技术会发现的磁盘 I/O 最少。”
它利用微软的 Windows 管理界面 (WMI) 命令行工具来终止所有进程。接下来,它转向其他关键进程以控制服务器。
“通过利用 WMI,勒索软件本身与这些典型的关键业务流程的突然终止没有直接关联,” Sophos 补充道。“终止这些进程将确保释放对相关文件/数据库的任何锁定,以便这些对象准备好进行恶意加密。”
未经允许不得转载:表盘吧 » Microsoft Exchange Server 攻击:LockFile Ransomware 使用新颖的攻击方法
