概述

近期，安全研究人員發(fā)現(xiàn)了一種針對Microsoft Exchange服務(wù)器的惡意軟件，而且這款惡意軟件甚至還可以執(zhí)行Windows域加密。這款惡意軟件名為LockFile，本質(zhì)上它是一款勒索軟件，當前變種主要利用的是ProxyShell漏洞。

關(guān)于LockFile勒索軟件

根據(jù)研究人員透露的信息，七月份出現(xiàn)了一份與LockFile勒索軟件有關(guān)的勒索信息，這份勒索信息其名稱已標識為“LOCKFILE-README.hta”，但并沒有其他的明顯標記了。而這個勒索軟件團伙從上周開始改變了他們的策略，并開始使用帶有Logo的勒索信息，并自稱他們名為LockFile。

“[victim_name]-LOCKFILE-README.hta”這種命名規(guī)范是網(wǎng)絡(luò)犯罪分子在特定勒索信息中所采用的慣用命名約定，并在勒索信息中告知目標用戶如何參與和進行贖金談判。LockFile勒索軟件團伙使用的郵件地址如下：contact@contipauper.com。

我們可以看到，勒索信息中所采用的顏色樣式和電子郵件地址名稱與Conti勒索軟件相似。盡管如此，從攻擊策略和寫作方法來看，LockFile和Conti其實并無關(guān)聯(lián)。

因為，LockFile不僅顯示出與Conti的相似性，而且還顯示出了與LockBit勒索軟件的相似性。

新型的LockFile勒索軟件使用了“.lockfile”作為被加密文件的后綴名。

那么，LockFile是如何使用ProxyShell漏洞的呢?根據(jù)賽門鐵克的說法，網(wǎng)絡(luò)犯罪分子可以利用ProxySheel漏洞訪問Microsoft Exchange的內(nèi)部部署服務(wù)器，并利用PetitPotam漏洞接管目標Windows域。

ProxyShell到底是什么?

ProxyShell實際上是由三個漏洞組成的，分為別CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。前兩個漏洞分別在4月份由KB5*001779修復(fù)，最后一個漏洞在5月份由KB5*003435修補。攻擊者可以利用這些漏洞攻擊Microsoft Exchange，并在目標服務(wù)器上實現(xiàn)遠程代碼執(zhí)行。

這三個漏洞所帶來的危害如下：

• 通過這些漏洞，攻擊者可以繞過ACL檢測;
• 攻擊者可以在Exchange PowerShell后端實現(xiàn)提權(quán);
• 攻擊者可以在目標設(shè)備上實現(xiàn)任意代碼執(zhí)行;

通過利用這些ProxyShell漏洞，攻擊者能夠掃描并攻擊Microsoft Exchange服務(wù)器，并在目標服務(wù)器上投放Web Shell，然后實現(xiàn)惡意軟件感染。

除此之外，研究人員還發(fā)現(xiàn)Lockfile勒索軟件使用了ProxyShell漏洞和Windows PetitPotam漏洞來在Windows域上執(zhí)行加密任務(wù)。廣大用戶可以通過以下查詢來掃描ProxyShell漏洞：

如何抵御Lockfile勒索軟件?

為了緩解ProxyShell漏洞所帶來的安全風險，我們建議廣大用戶盡快更新自己的Microsoft Exchange版本。

為了緩解PetitPotam漏洞的影響，廣大用戶可以使用0patch的補丁(這是一種非官方的漏洞環(huán)節(jié)措施)。