勒索软件LockFile滥用漏洞，控制AD网络服务器

新的勒索软件攻击大肆滥用近期公开的重大漏洞，使得企业与组织难以招架。赛门铁克研究人员8月20日披露了一起名为LockFile的勒索软件攻击行动，其中攻击者先是通过微软Exchange邮件服务器获得对受害者网络的访问权限，入侵企业内部网络环境，接下来使用没有完全修补的PetitPotam漏洞（CVE-2021-36942）控制AD网络服务器，并感染内网电脑。目前尚不清楚攻击者如何获得对微软Exchange服务器的初始访问权限。

LockFile勒索软件是赛门铁克最早在7月20日发现的，受害者是美国的金融组织，最新的攻击活动出现于8月20日，目前至少有10个组织遭到LockFile攻击，受害组织遍及全世界，但大多数位于美国及亚洲。LockFile的受害者组织类型包括制造业、金融服务、工程公司、法务公司、商业服务、以及旅游业等。

对于攻击者的身份，赛门铁克表示，根据黑客留下来的勒索信件，攻击者使用的电子邮件地址contact@contipauper[.]com显示与黑客组织Conti有关。而这个勒索信件也与日前攻击大型IT顾问公司埃森哲的LockBit极为相似。

一、攻击者先入侵Exchange服务器，再利用AD网络服务器传播勒索软件

针对于LockFile攻击的过程，攻击者先是入侵Exchange邮件服务器，并下达PowerShell命令，试图使用Wget程序下载文件，但究竟攻击者下载了什么目前还不得而知。在发动勒索软件攻击之前，黑客会维持存取受害组织的网络数日。

直到即将植入勒索软件的前20至30分钟，攻击者会在遭到入侵的Exchange邮件服务器上开始部署一组工具，分别是efspotato.exe、active_desktop_render.dll、以及active_desktop_launcher.exe等3个文件。

其中，efspotato.exe是PetitPotam漏洞的滥用工具，疑似来自GitHub上的概念性验证（PoC）工具；而active_desktop_launcher.exe是合法应用程序，是酷狗音乐所推出的动态桌面软件，攻击者将它用来加载恶意程序库active_desktop_render.dll。

这个恶意DLL一旦被成功加载，就会企图解密服务器本机上一个名为desktop.ini的文件。如果这个INI文件被成功解密，将会执行Shellcode。赛门铁克目前尚未取得对这个desktop.ini进行分析，从而无法进一步说明过程中执行了哪些行为。

根据赛门铁克的推测，这个加密Shellcode的用途应该就是启动efspotato.exe，滥用PetitPotam漏洞攻击AD网络服务器。虽然微软已于8月的例行修补提供了修补程序，但随后有研究人员指出，修补程序并未完全修补这项漏洞，而能够在已经安装修补程序的Windows服务器上重现。

一旦成功存取AD网络服务器，攻击者就会在网络服务器的指定文件夹中部署LockFile勒索软件相关文件。该文件夹路径的sysvol\domain\scripts，就是所有的网络使用者向网络控制器执行身份验证时，用来部署指令码Script的文件夹。只要电脑使用者登入网络，电脑就会复制LockFile的文件并且执行，同时将电脑的进行文件加密。

二、攻击者入侵利用的是Exchange重大漏洞ProxyShell

目前尚不清楚攻击者是如何获得对微软 Exchange服务器的初始访问权限的。本次攻击行动仍有多处细节仍不明朗，尤其是攻击者入侵Exchange服务器的手法，仍有待调查。不过，有研究人员根据蜜罐所收集的情报，指出LockFile攻击者就是利用了ProxyShell漏洞来下手。

ProxyShell是CVE-2021-34473、CVE-2021-34523、CVE-2021-31207三个漏洞的统称，未经身份验证的远程攻击者可通过利用这些漏洞在Microsoft Exchange服务器上执行代码。

研究人员Kevin Beaumont于8月21日指出，他的蜜罐在8月13日侦测到滥用ProxyShell漏洞的攻击行动，黑客试图在蜜罐植入Webshell，而且多数防毒软件无法识别这个Webshell档案有害。这个攻击引起Kevin Beaumont注意的原因就是攻击来源IP位址与赛门铁克揭露的一致。

事隔3日，Kevin Beaumont观察到黑客再度入侵蜜罐，并且下达新的攻击命令与植入LockFile文件。也就是说，攻击者最初入侵Exchange服务器的手段，就是滥用ProxyShell漏洞。

针对这项发现，Kevin Beaumont指出，虽然这组漏洞微软已于4月发布修补程序，但相较于另一组在3月修补的重大漏洞ProxyLogon，他认为攻击者滥用ProxyShell的门槛较低，而且大型组织很可能还没有安装补丁程序，从而导致攻击者能轻易入侵Exchange服务器。而对于ProxyShell已被黑客大肆滥用的现象，也使得美国CISA于8月21日紧急发布警报，警告管理员要尽快修复被积极利用的本地Microsoft Exchange服务器的ProxyShell漏洞。

对于LockFile勒索软件攻击滥用ProxyShell漏洞的行为，也有另一家网络安全公司TG Soft揭露他们的看法，并公布了攻击流程图，指出攻击者在使用了efspotato.exe之后，使用了Vatet Loader来加载渗透测试工具Cobalt Strike，进而变更群组原则来散布勒索软件LockFile。 

参考资料：

【1】https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows

【2】https://doublepulsar.com/multiple-threat-actors-including-a-ransomware-gang-exploiting-exchange-proxyshell-vulnerabilities-c457b1655e9c

【3】https://www.ithome.com.tw/news/146406

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。