FBI着手从被攻击的Exchange服务器清理WebShell
美国休斯敦的一家法院日前授权FBI从美国数百台提供企业级电子邮件服务的Microsoft Exchange服务器中删除后门。
2021年01月至02月,有黑客组织利用Microsoft Exchange邮件服务器软件中的0day漏洞利用链来访问电子邮件账户。
该黑客组织甚至还在服务器放置WebShell进行远程权限管理,黑客利用四个未被发现的漏洞攻击了美国数千个网络。
2021年3月2日,Microsoft宣布一个黑客组织使用多个零日漏洞来定位运行Microsoft Exchange Server软件的计算机。
Microsoft第一时间修复这些漏洞,但补丁并未关闭已经遭入侵的服务器的后门,其他黑客组织几天后纷纷开始效仿。
尽管数千台计算机受感染的设备已经成功地从服务器删除了WebShell,但还是有数百个台服务器上运行着WebShell。
因此,美国司法部于2021年04月13日宣布一项由美国休斯敦法院授权的行动,从被攻击Exchange服务器清理后门。
司法部称随着补丁应用,受感染的服务器数量有所下降,但数百台Exchange服务器仍然脆弱,后门很难找到并消除。
FBI需要先收集大量被攻陷的服务器,再将这些服务器上的WebShell进行拷贝,然后删除服务器上的恶意WebShell。
此次行动删除一个早期黑客组织剩余的网络外壳,外壳可能被用来维持和升级对美国网络的持续、未经授权的访问。
由于FBI需要删除的WebShell每个都有唯一的文件路径和名称,因此检测和清理这些WebShell非常具有很大挑战性。
据说FBI是通过WebShell向服务器发出删除命令,该命令旨在使服务器只删除wWebShell(由其唯一的文件路径识别)。
FBI表示,它试图通过电子邮件向所有删除了黑客组织Webshell的计算机的所有者或运营商提供法院授权操作的通知。
对于拥有公开联系信息的受害者,,联邦调查局将从官方FBI电子邮件帐户(@ FBI.gov)发送电子邮件,以通知受害人。
对于那些无法公开获得联系信息的受害者,FBI则通过官方电子邮件帐户向ISP提供商发送邮件要求他们通知受害者。
表面看来FBI的这项行动不仅获得了法院授权,也清除了被入侵服务器上的后门,你细品,这事儿很符合FBI的风格!
美国不是标榜公民人权和民权受到宪法及各种法律保护,风能进雨能进国王不能进私有财产神圣不可侵犯是扯淡吗?
美国鬼子一直打着保护人权的幌子干着脏心烂肺的事儿,屡屡自诩灯塔肆意批评别国,却总照不亮自身种种灯下黑。