據(jù)BleepingComputer 2月16日消息，一種名為“ProxyShellMiner”的新型惡意軟件正利用微軟 Exchange ProxyShell 漏洞，在整個 Windows 域中部署加密貨幣礦工。

ProxyShell 是微軟在 2021 年發(fā)現(xiàn)并修復(fù)的三個 Exchange 漏洞的統(tǒng)稱。當(dāng)這些漏洞鏈接在一起時，能夠允許未經(jīng)身份驗證的遠(yuǎn)程代碼執(zhí)行，使攻擊者可以完全控制 Exchange 服務(wù)器并進行橫向移動。

攻擊鏈概覽

在由安全公司 Morphisec 發(fā)現(xiàn)的攻擊中，攻擊者利用被跟蹤為 CVE-2021-34473 和 CVE-2021-34523 的 ProxyShell 漏洞來獲得對目標(biāo)組織網(wǎng)絡(luò)的初始訪問權(quán)限。接下來，攻擊者將 .NET 惡意軟件負(fù)載放入域控制器的 NETLOGON 文件夾中，以確保網(wǎng)絡(luò)上的所有設(shè)備都運行惡意軟件。

在激活惡意軟件時，攻擊者會輸入一個特殊的命令行參數(shù)，該參數(shù)也被稱為 XMRig 礦工組件的密碼。

特殊命令行參數(shù) （Morphisec）

在下一階段，惡意軟件下載名為“DC_DLL”的文件并執(zhí)行 .NET 反射以提取任務(wù)計劃程序、XML 和 XMRig 密鑰的參數(shù)，DLL 文件用于解密其他文件。

為了獲得持久性，惡意軟件創(chuàng)建一個配置為在用戶登錄時就會自動運行的計劃任務(wù)，并從遠(yuǎn)程下載第二個加載程序，該程序?qū)Q定通過哪一個瀏覽器把挖礦木馬植入內(nèi)存空間，并使用一種稱為process hollowing（進程挖空）的技術(shù)，從硬編碼列表中隨機選擇一個礦池進行挖礦活動。

攻擊鏈的最后一步是創(chuàng)建一個防火墻規(guī)則來阻止所有傳出流量，該規(guī)則適用于所有 Windows 防火墻配置文件。這樣能讓受害者不太容易檢測到感染標(biāo)記或收到有潛在危害的任何警報。

添加防火墻規(guī)則以阻止所有傳出流量 (Morphisec)

Morphisec 警告稱，挖礦惡意軟件的影響不僅僅是導(dǎo)致服務(wù)中斷、服務(wù)器性能下降和設(shè)備過熱，一旦攻擊者在網(wǎng)絡(luò)中站穩(wěn)腳跟，就可以進一步實施從后門部署到代碼執(zhí)行的任何操作。

為了應(yīng)對 ProxyShellMiner 感染的風(fēng)險，Morphisec 建議所有系統(tǒng)管理員安裝最新的安全更新，并啟用多方面的威脅檢測和防御策略。