小心網路惡棍!Exchange Server 漏洞報你知

勒索病毒:Exchange Server 的下一步威脅

微軟於三月十二日在官方部落格上警告大家有駭客將針對日前受到零時差攻擊的 Exchanger Server 展開勒索病毒攻擊。微軟也在文章中揭露大約還有 80,000 台伺服器以上並未完全修復。有關零時差攻擊的詳情請參閱我們的上一篇文章《Exchange Server 問題層出不窮?微軟遭駭客零時差攻擊》。

在微軟公佈部落格文章後不久,有許多資安新聞報導指出陸續有些 Exchange Server 遭到一個名為 「DearCry」的勒索軟體攻擊。DearCry 是一種針對微軟 Exchange Server 前陣子零時差攻擊漏洞的新型勒索病毒。

隨著網路攻擊消息的擴散,想必網路惡棍會趁勢從中獲利。不幸地,根據 Bleeping Computer 的報導,宏碁日前遭到網路惡棍 REvil 的勒索軟體攻擊,並被要求了五千萬元的勒索費。這也顯示了網路惡棍想要伺機獲利的野心有如狼貪虎視。

針對 Exchange Server 的漏洞,微軟在三月十八日於部落格上宣布 Microsoft Defender Antivirus 可以用以減緩漏洞的嚴重性。因此,我們強烈建議 Exchange Server 的使用者下載、安裝、並更新 Microsoft Defender Antivirus。

受害伺服器的三種下場

當伺服器被攻擊後,很有可能發生以下三種後果:

1. 惡意挖礦
挖礦大致上指的是在區塊鏈上協助驗證加密貨幣交易而獲得報酬。大部分的加密貨幣都是去中心化的,沒有統一一間機構來處理所有交易,所以需要世界各地的使用者透過電腦或伺服器的計算能力來協助驗證交易,而協助驗證者就會獲得一些加密貨幣作為報酬。

挖礦本身並不是惡意的行為,但是網路惡棍未經同意,擅自使用別人的電腦資源和電力來挖礦就是大問題了。

2. 植入 Web Shell (網頁殼層)
根據維基百科iThome 所述,「web shell」是一種以網頁開發程式語言所撰寫的小程式,網路惡棍將 web shell 植入伺服器後,即可自遠端執行任意的系統命令。對網路惡棍而言,能掌控的伺服器越多越好。而眾多伺服器的控制權一旦落入網路惡棍手中,他們將可以輕易地發動 DDoS 攻擊或是操控 bot 進行其他惡意行為。

3. 植入勒索軟體
勒索軟體透過將受害者的的電腦鎖住或對其檔案加密來要求贖金,否則將無法取回電腦或檔案的控制權。網路惡棍注意到受害者經常直接支付小額的贖金,而不是向資安機構求助,造成近來勒索軟體越來越盛行。

今日受害者,明日的幫凶?

許多勒索病毒的起源都是來自於釣魚郵件,但是網路惡棍其實無法透過隨隨便便的某台伺服器就開始寄出釣魚郵件,因為這些伺服器沒有通過 SPF 和 DKIM 的認證。從可疑的網域或伺服器寄出的郵件很容易會被判定成垃圾郵件。然而,若網路惡棍透過受認證的伺服器寄出釣魚郵件,這些郵件就很有可能成功寄到受害者手上。也就是說網路攻擊的受害者(受攻擊的伺服器)極有可能變成網路惡棍的幫凶。為了避免這樣的事態發生,使用者應積極迅速地補起安全性漏洞。

如果網路惡棍覺得攻擊十分有效,接下來很可能繼續針對 Exchange Server 攻擊,所以使用 Exchange Server 的企業最好對此有所準備。另一方面,若是採用雲端的 Email Server,其實就像是將 Email 系統外包出去一樣,不必自己架設伺服器、規劃與維護,資安也將由外包廠商負責,因此在人力和資源有限的情況下,導入雲端 Email 服務亦不失為一個好選擇。

WRITTEN BY