2021年1月到2月,有黑客组织使用Microsoft Exchange邮件服务器软件中的0day漏洞利用链(ProxyLogon)来访问电子邮件账户,并在服务器放置WebShell进行远程权限管理。
在漏洞和补丁发布后,其他黑客组织也于3月初开始效仿,纷纷针对Exchange服务器进行攻击。
尽管许多受感染的系统所有者成功地从数千台计算机中删除了WebShell,但还是有数百个台服务器上运行着WebShell。
因此美国司法部在2021年4月13日宣布了一项法院授权的行动,该行动将授权FBI从美国数百台用于提供企业级电子邮件服务的Microsoft Exchange服务器中,先收集大量被攻陷的服务器,再将这些服务器上的WebShell进行拷贝,然后再删除服务器上的恶意WebShell。
2021年3月2日,Microsoft宣布一个黑客组织使用多个零日漏洞来定位运行Microsoft Exchange Server软件的计算机。其他各种黑客组织也利用这些漏洞在数千台受害计算机(包括位于美国的受灾计算机)上安装了Web Shell。由于FBI需要删除的WebShell每个都有唯一的文件路径和名称,因此与其他通用WebShell相比,检测和清除它们可能更具挑战性。至于如何进行清除,想必懂得都懂,毕竟存在WebShell的服务器基本没有修补最新的漏洞补丁,因此......
FBI试图向所有删除了黑客组织Webshell的计算机的所有者或运营商提供法院授权操作的通知。对于那些拥有公开联系信息的受害者,联邦调查局将从官方FBI电子邮件帐户(@ FBI.gov)发送电子邮件,以通知受害人。对于那些无法公开获得联系信息的受害者,FBI将从同一FBI电子邮件帐户向被认为拥有联系信息的提供商(例如受害者的ISP)发送一封电子邮件,并要求他们提供通知受害者。
而在4月13日的FBI清除WebShell行动中,删除了一个早期黑客组织的Web Shell,FBI通过Web Shell向服务器发出命令进行了删除,目的是让服务器仅删除Web Shell(由其唯一的文件路径标识)。
如下图所示,执行命令(该操作不代表其他WebShell的操作,仅仅针对一个服务器)
https://webmail.\[domain\]\[.\]net/aspnet\_client/system\_web/xxx.aspx: del /f “C:\inetpub\wwwroot\aspnet_client\system_web\xxx.aspx.
----------------------------
此外近期外媒爆料指出,FBI在2016年曾雇佣公司去解锁一个枪手的iphone手机,当时苹果公司拒不配合解锁。该公司是澳大利亚国防承包商Azimuth Security,Azimuth为美国、加拿大和英国政府生产黑客工具,并向FBI提供了一系列的IOS漏洞利用(Condor)从而解锁iPhone。如今为L3Harris Technologies旗下,L3Harris于2018年4月收购了Azimuth和Linchpin Labs。
而Linchpin Labs会向FBI,澳大利亚的情报服务以及英国和加拿大提供漏洞利用。而FBI曾经从Azimuth获得了针对Tor浏览器的攻击。
-----------------
可以看出,不愧是FBI。