美國聯邦調查局(FBI)從被駭客入侵的Microsoft Exchange伺服器移除Web Shell,該FBI行動是在未事先通知伺服器擁有者的情況下進行的。

美國司法部周二宣布一項法院授權聯邦調查局(FBI)的行動,從美國數百台Microsoft Exchange電子郵件伺服器中“複製並刪除”後門,以清除先前入侵該系統的駭客留下的Web Shell,同時也宣布了該項行動成功。

在美國司法部發布新聞稿中,FBI獲得搜查令可存取仍然受到威脅的Exchange伺服器,複製Web Shell作為證據,然後從伺服器中刪除Web Shell,同時因受害者不願或無法迅速修補其系統,執法部門在面對大規模駭客行動時能會採取一些更積極的步驟。該行動是回應在3月時駭客利用Microsoft Exchange 伺服器中的漏洞入侵還竊取受害者的電子郵件。由於其中一些Web Shell沒有得到妥善保護,使中國駭客可重複使用相同的密碼來存取被入侵的Exchange伺服器的權限, 聲明寫道,在這種情況下,聯邦調查局“刪除了一個較早時候駭客組織剩餘的Web Shell,這些Web Shell可以用來維持和升級對美國網路未經授權存取的持久性。”

為了清理已識別的Microsoft Exchange伺服器,FBI使用駭客也使用的已知密碼存取了Web Shell,將Web Shell複製為證據,然後執行命令從受感染的伺服器上移除Web Shell。

FBI說:“ FBI人員存取Web Shell,輸入密碼,製作Web Shell證據的副本,然後通過Web Shell向伺服器發出命令以刪除Web Shell本身。” 。

從受感染的Exchange Server中刪除Web Shell的命令

FBI 補充說,Web Shell是駭客打開的界面,以便他們可以在以後與易受攻擊的系統進行通信,聯邦調查局通過Web Shell向伺服器發出命令進行了刪除,該命令旨在使伺服器僅刪除Web Shell,但是FBI指出,行動並未修補基礎系統本身,也未刪除可能已安裝在伺服器上的任何其他惡意軟體。

相關法院記錄的一部分
法院對搜查令的批准

FBI現在將通知他們在該行動中存取的Exchange伺服器的擁有者,將通過官方FBI.gov電子郵件帳戶發送電子郵件發通知,或使用服務提供商(ISP)與擁有者聯繫。

關於Exchange伺服器的情資:

https://otx.alienvault.com/pulse/603eb1abdd4812819c64e197

*****竣盟科技快報歡迎轉載,但請註明出處