美国司法部周二(4/13)宣布,美国法院已经授权美国联邦调查局(FBI)得以复制与移除在美国境内本地部署的微软Exchange Server上的恶意Web Shells,这应该是美国史上第一次由官方主动自远程移除组织恶意程序的行动。
此事涉及到微软于今年3月2日紧急修补的4个Exchange Server安全漏洞,当时,被统称为ProxyLogon的CVE-2021-26855、CVE-2021-26857、CVE-2021 -26858与CVE-2021-27065等漏洞已遭到黑客开采,主要目的为窃取私密邮件,并于系统上安装恶意的Web Shells,以便长期访问。
不同的黑客组织不仅在今年1月与2月就开采了相关漏洞,在微软于3月2日公布及修补漏洞之后,引来了更多的黑客组织,且攻击目的从单纯的窃取邮件,扩大至植入挖矿程序与勒索软件。根据安全企业ESET的统计,截至3月10日便至少有10组以上的黑客锁定ProxyLogon漏洞展开攻击。
尽管微软、安全企业、FBI与美国网络安全暨基础架构安全局(CISA)都披露了漏洞修补程序与指南,微软也发布了恶意Web Shells的侦测工具,但美国司法部却发现,虽然许多受感染系统的管理员已经成功移除数千台计算机上的恶意Web Shells,但有些人显然无法做到,依然留下了数百个恶意Web Shells。
在获得法院的授权后,FBI即利用Web Shell发布命令至服务器上,以让服务器移除该Web Shell,此次的行动所移除的,是遭到一个早期黑客组织所安装的Web Shells,它们可用来作为未经授权的访问渠道;由于FBI所移除的Web Shells都拥有独立的文件路径与名称,对于个别服务器的所有人来说,要侦测与移除这样的Web Shells可能更具挑战,解释了美国政府决定主动介入的原因。
不过,司法部强调,虽然该行动成功地复制与移除了这些Web Shells,但并未代替用户修补ProxyLogon漏洞,也未移除黑客借由开采这些Web Shells所植入的恶意程序或黑客工具,用户依然要自行执行完整的移除与修补程序。
由于这次是FBI主动出击,意味着这些被黑的Exchange Server主人并不知情,因此FBI也尝试通知已被移除恶意Web Shells的Exchange Server所有人,若有公开联系信息的会通过电子邮件通知,若缺乏联系信息的,则会借由ISP企业或其它服务供应商进行通知。