Microsoft Exchange Server 受到 Hive 的「windows.exe」勒索軟體的攻擊

儘管保持軟體更新和僅從受信任的來源下載檔案是標準的網路安全實踐，但鑑於最近惡意軟體攻擊的增加，很明顯在這方面需要更多的教育。為此，Varonis 取證團隊就使用 Hive 勒索軟體的攻擊者如何在其最新系列攻擊中針對 Microsoft Exchange Server 提供了一些指導。對於那些不知道的人，Hive 遵循勒索軟體即服務模式。

儘管微軟在 2021 年針對已知漏洞對 Exchange 伺服器進行了修補，並且大多數組織都進行了更新，但有些組織沒有。 Hive 現在透過 ProxyShell 漏洞針對這些易受攻擊的伺服器執行個體來取得 SYSTEM 權限。然後，PowerShell 腳本啟動Cobalt Strike並建立一個名為「user」的新系統管理員帳號。

在此之後，Mimikatz 被用來竊取網域管理員的 NTLM 雜湊並獲得對該帳戶的控制權。成功入侵後，Hive 執行一些發現，其中部署網路掃描程式以儲存 IP 位址，掃描檔案名稱中包含「密碼」的文件，並嘗試將 RDP 匯入備份伺服器以存取敏感資產。

最後，自訂惡意軟體負載透過「 windows.exe 」檔案部署和執行，該檔案竊取和加密檔案、刪除卷影副本、清除事件日誌並停用安全機制。隨後，會顯示勒索軟體說明，要求該組織與託管在可透過 Tor 網路存取的 .onion 位址上的 Hive 的「銷售部門」取得聯繫。也向受感染的組織提供了以下說明：

• 請勿修改、重新命名或刪除 *.key。文件。您的資料將無法解密。
• 不要修改或重新命名加密檔案。你會失去他們。
• 不要向警察、聯邦調查局等報告。他們不關心您的業務。他們根本不允許您付款。結果你會失去一切。
• 不要聘請恢復公司。他們無法在沒有金鑰的情況下解密。他們也不關心您的業務。他們相信自己是優秀的談判者，但事實並非如此。他們通常會失敗。所以為自己說話。
• 不要拒絕（原文如此）購買。洩漏的文件將被公開披露。

最後一點當然很有趣，因為如果沒有向 Hive 付款，他們的資訊將發佈在「HiveLeaks」Tor 網站上。在同一網站上顯示倒數計時，以迫使受害者付款。

安全團隊指出，在一個實例中，攻擊者設法在初始入侵後的 72 小時內加密環境。因此，它建議組織立即修補 Exchange 伺服器，定期輪換複雜密碼，阻止 SMBv1，盡可能限制訪問，並在網路安全領域培訓員工。

以上是Microsoft Exchange Server 受到 Hive 的「windows.exe」勒索軟體的攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章！