最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 微软的MSERT工具现在可以从Exchange Server攻击中找到web shell

    Microsoft已为其Microsoft安全扫描程序(MSERT)工具推出了一个新更新,以检测在最近的Exchange Server攻击中部署的Web Shell。

    3月2日,Microsoft披露,有四个Exchange Server 0day漏洞被用于暴露的Outlook On the web(OWA)服务器。这些漏洞被跟踪为CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。

    这些漏洞被称为“ ProxyLogon”,威胁参与者正在使用这些漏洞窃取邮箱,收集凭据以及部署Web Shell来访问内部网络。

    当Microsoft披露这些攻击时,他们已经发布了Microsoft Defender的更新签名,这些签名将检测使用0day漏洞安装的Web Shell。

    Microsoft Defender使用以下签名检测到这些Web Shell:

    •  Exploit:Script/Exmann.A!dha
    •  Behavior:Win32/Exmann.A
    •  Backdoor:ASP/SecChecker.A
    • Backdoor:JS/Webshell (not unique to these attacks)
    •  Trojan:JS/Chopper!dha (not unique to these attacks)
    •  Behavior:Win32/DumpLsass.A!attk (not unique to these attacks)
    • Backdoor:HTML/TwoFaceVar.B (not unique to these attacks)

    对于不使用Microsoft Defender的组织,Microsoft已将更新的签名添加到其Microsoft安全扫描器独立工具中,以帮助组织查找和删除在这些攻击中使用的Web Shell。

    使用Microsoft安全扫描程序删除Web Shell

    Microsoft安全扫描程序,也称为Microsoft支持紧急响应工具(MSERT),是一个独立的便携式反恶意软件工具,其中包括Microsoft Defender签名,用于扫描和删除检测到的恶意软件。

    MSERT是按需扫描程序,不会提供任何实时保护。因此,它仅应用于点扫描,而不应作为完整的防病毒程序使用。

    此外,如果您未使用/N参数启动程序,则MSERT将自动删除所有检测到的文件,并且不会隔离它们,如中所示的msert.exe /N。要扫描Web Shell而不删除它们,您还可以使用本文末尾所述的PowerShell脚本。

    可以将Microsoft安全扫描程序下载为32位或64位可执行文件,并根据需要用于对计算机执行点扫描。

    启动该程序后,同意许可协议,屏幕上将显示一个问题,询问您要执行哪种类型的扫描。

    Microsoft建议您选择“完全扫描”选项来扫描整个服务器。

    微软的MSERT工具现在可以从Exchange Server攻击中找到web shell

    由于完全扫描可能需要很长时间,具体取决于安装的大小,因此Microsoft还声明您可以对以下每个文件夹执行“自定义扫描”:

    •  %IIS installation path%\\aspnet_client\\*
    •  %IIS installation path%\\aspnet_client\\system_web\\*
    •  %Exchange Server installation path%\\FrontEnd\\HttpProxy\\owa\\auth\\*
    •  Configured temporary ASP.NET files path
    •  %Exchange Server Installation%\\FrontEnd\\HttpProxy\\ecp\\auth\\*

    扫描完成后,MSERT将报告已删除哪些文件及其定义签名。

    微软的MSERT工具现在可以从Exchange Server攻击中找到web shell

    有关删除哪些文件的更多详细信息,可以查询 %SYSTEMROOT%\\debug\\msert.log文件,如下所示。

    微软的MSERT工具现在可以从Exchange Server攻击中找到web shell

    使用MSERT完成后,只需删除msert.exe可执行文件即可卸载该工具。

    新的PowerShell脚本查找Web Shell

    如果您想扫描web shell而不删除它们,可以使用由CERT拉脱维亚创建的,名为detect的新PowerShell脚本_webshell.ps1。

    “ 2021年1月的初始活动归因于HAFNIUM,但是从那时起,其他威胁行为者就掌握了这些漏洞并开始使用它们。在Microsoft公开披露信息和发布补丁程序(自2月27日左右)之前,公开披露的Exchange服务器开始被不加区别地利用。”

    CERT-LV在其项目说明中解释说:“因此,在Microsoft发布最新的Exchange更新后不久安装这些更新并不能完全降低先前受到威胁的风险,因此应检查所有Exchange服务器是否存在未经授权的访问迹象。”。

    此脚本将显示包含web shell(而不是Microsoft Exchange)在ProxyLogon攻击中使用的特定字符串的文件。该脚本的优点是它不会删除文件,而使事件响应者可以对其进行进一步分析。

    微软的MSERT工具现在可以从Exchange Server攻击中找到web shell

    有关如何使用此脚本的更多信息,请参见CERT-LV项目的GitHub存储库。

    Microsoft还发布了一个名为Test-ProxyLogon.ps1的PowerShell脚本,该脚本可用于在Exchange和OWA日志文件中搜索与这些攻击相关的危害指标(IOC)。

    本文翻译自:https://www.bleepingcomputer.com/news/security/microsofts-msert-tool-now-finds-web-shells-from-exchange-server-attacks/?__cf_chl_jschl_tk__=a656bb4f9b4388d5267df7a14e9b33a0d5eeddb2-1615609681-0-AUybHH9EIEPRdmSVYm4croX1oESBVfx1Su3wWwfxOJgqlz6a0VF1GDHygyS-4CobkezWe2Iueigb7xkgxBCKlvpKdp3AQ9Abbl2BAYNJR30Ka29_y9Coe19S9Hyjnyyt1J5iWtE7GZ7NzipWg0A4ZhCnc42VA_dND6vUJAwvDNVXiA44U93Iv4df3eM4BA4NNF5GY8WQsSl6k9pc9s-0rbI-uB5uE9WEJwTnZ1s1UltWkvnRzIxpj2RF0m8UdJ4sMtulX6AbpF24fEPmD1SDCoqwT6WIEugH00DUQcsS63Y9mUCCeVjfQF1TH0ZUKtJSr3AglOgJIwXc4UA72pZpBitGLXYJiSjP5_p391m6Nx5sEuJZOE4IEkUa-Hm8Jd6TVhhuDwmO70toqYUoKPjKIWf4XAMMCODrcgCzSUQm_zKmFIdh5NPL3u_S80v6o0aRWQ如若转载,请注明原文地址。

    【编辑推荐】

    1. 跟妹妹聊到 Java 16 新特征,真香!
    2. IT项目过多,管理太难?NO!因为你还没学会这七招
    3. 学了五年Python,这些网站让我相见恨晚,快来一起见识一下
    4. Java都到16了,为什么都还在用8,是越做越烂了么?
    5. 实在太神奇!Windows10这些黑科技小功能你都用过吗
    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 微软的MSERT工具现在可以从Exchange Server攻击中找到web shell

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 1002会员总数(位)
    • 40233资源总数(个)
    • 43本周发布(个)
    • 42 今日发布(个)
    • 377稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情