FBI“合法清除”被侵犯的Exchange服务器WebShell

2021年1月到2月，有黑客组织使用Microsoft Exchange邮件服务器软件中的0day漏洞利用链(ProxyLogon)来访问电子邮件账户，并在服务器放置WebShell进行远程权限管理。

 

 

 

在漏洞和补丁发布后，其他黑客组织也于3月初开始效仿，纷纷针对Exchange服务器进行攻击。

 

 

 

尽管许多受感染的系统所有者成功地从数千台计算机中删除了WebShell，但还是有数百个台服务器上运行着WebShell。

 

因此美国司法部在2021年4月13日宣布了一项法院授权的行动，该行动将授权FBI从美国数百台用于提供企业级电子邮件服务的Microsoft Exchange服务器中，先收集大量被攻陷的服务器，再将这些服务器上的WebShell进行拷贝，然后再删除服务器上的恶意WebShell。

 

 

 

 

 

2021年3月2日，Microsoft宣布一个黑客组织使用多个零日漏洞来定位运行Microsoft Exchange Server软件的计算机。其他各种黑客组织也利用这些漏洞在数千台受害计算机(包括位于美国的受灾计算机)上安装了Web Shell。由于FBI需要删除的WebShell每个都有唯一的文件路径和名称，因此与其他通用WebShell相比，检测和清除它们可能更具挑战性。至于如何进行清除，想必懂得都懂，毕竟存在WebShell的服务器基本没有修补最新的漏洞补丁，因此......

 

 

 

FBI试图向所有删除了黑客组织Webshell的计算机的所有者或运营商提供法院授权操作的通知。对于那些拥有公开联系信息的受害者，联邦调查局将从官方FBI电子邮件帐户(@ FBI.gov)发送电子邮件，以通知受害人。对于那些无法公开获得联系信息的受害者，FBI将从同一FBI电子邮件帐户向被认为拥有联系信息的提供商(例如受害者的ISP)发送一封电子邮件，并要求他们提供通知受害者。

 

而在4月13日的FBI清除WebShell行动中，删除了一个早期黑客组织的Web Shell，FBI通过Web Shell向服务器发出命令进行了删除，目的是让服务器仅删除Web Shell(由其唯一的文件路径标识)。

 

如下图所示，执行命令(该操作不代表其他WebShell的操作，仅仅针对一个服务器)

 

https://webmail.[domain][.]net/aspnet_client/system_web/xxx.aspx: del /f “C:inetpubwwwrootaspnet_clientsystem_webxxx.aspx.

 

 

 

此外近期外媒爆料指出，FBI在2016年曾雇佣公司去解锁一个枪手的iphone手机，当时苹果公司拒不配合解锁。该公司是澳大利亚国防承包商Azimuth Security，Azimuth为美国、加拿大和英国政府生产黑客工具，并向FBI提供了一系列的IOS漏洞利用(Condor)从而解锁iPhone。如今为L3Harris Technologies旗下，L3Harris于2018年4月收购了Azimuth和Linchpin Labs。

 

而Linchpin Labs会向FBI，澳大利亚的情报服务以及英国和加拿大提供漏洞利用。而FBI曾经从Azimuth获得了针对Tor浏览器的攻击。

 

可以看出，不愧是FBI。