FBI访问并修复了“数百”的黑客Microsoft Exchange服务器

在一个已被描述为前所未有的移动中，FBI获得了法院命令，该法院命令允许它从今年早些时候通过零天漏洞的数百名私人Microsoft Exchange服务器中删除后门程序。该操作表明，联邦调查局准备采取更积极的方法来应对超出其传统调查作用的网络威胁，而且还提出了关于限制应该与这些行动的问题的问题。

本周早些时候，司法部宣布，FBI被德克萨斯州法院获得了一个搜索和扣押权证，允许原子能机构从私人组织拥有的数百个上提下的Microsoft Exchange服务器复制和删除Web Shell。 Web shell是一种程序，即黑客安装在黑客Web服务器上，通过基于Web的界面在这些服务器上授予它们在这些服务器上的回溯访问和远程命令执行功能。

在这种情况下，据认为将据信与中国政府联系的春季汇率集团安装的讯息组织。 3月初，微软报告说，Hafnium一直在利用Microsoft Exchange中以前未被批量的漏洞妥协服务器。与此同时，该公司发布了这些漏洞的补丁，以及妥协和其他检测工具的指标，但这并不是防止其他攻击者在公众成为漏洞之后利用漏洞。

在其认股权证申请中，4月13日，联邦调查局认为，尽管微软，CISA和FBI本身的公众意识活动，但许多服务器仍然被铪部署的网壳感染。虽然已经从未密封的逮捕令重新删除了确切的数字，但Doj在新闻稿中表示，它是＆＃34;数百个。＆＃34;

FBI要求和收到法院批准，通过原始攻击者设置的密码访问恶意Web shell，然后通过执行将删除Web shell的命令来使用该命令来对恶意软件本身进行访问权限，这些命令基本上是一个.aspx部署在服务器上的脚本。 FBI还被允许首先制作网壳的副本，因为它们可以构成证据。

保证指出它＆＃34;不授权扣押任何有形属性＆＃34;或者从服务器本身复制或更改服务器，这些内容本身通过其唯一的文件路径在授权中识别。这意味着FBI未授予修补漏洞的权限，以保护服务器免受未来的开发或删除黑客可能已经部署的任何其他恶意软件或工具。

联邦调查局指出了其保证要求，联邦刑事诉讼程序要求该官员制作＆＃34;合理的努力为财产被搜索的人员和收据提供服务副本＆＃34;处理远程访问电子存储和扣押电子存储信息时。然而，这种通知可以通过任何手段，包括电子产品，具有A＆＃34;合理计算的＆＃34;到达那个人的机会。为了遵守此要求，FBI从官方电子邮件帐户发送电子邮件，包括担保副本，到与受感染服务器的域名相关联的电子邮件地址。如果域使用隐私服务隐藏相关电子邮件地址，则FBI与域名注册商或ISP联系并要求他们通知客户。

这不是来自其他国家/地区的FBI或执法权限的第一次将命令发送到在受感染的计算机上运行的恶意软件。 2011年，FBI获得了临时限制顺序，允许它抓住CoreFlood Botnet使用的命令和控制服务器和域名，并修改它们以响应暂时停止恶意软件在计算机上运行的命令响应。虽然命令禁用恶意软件，但它没有完全从受感染的系统中删除它。

2019年，法国国家宪兵，与防病毒供应商Avast一起使用，禁用了随附蠕虫使用的命令和控制服务器部署了Cryptocurrency Malify Malware并用A＆＃34替换它;消毒服务器。＆＃34;消毒服务器响应来自受感染系统的请求，其中响应导致恶意软件自毁。

这些过去的操作的结果类似于当前的FBI操作 - 从感染的计算机系统远程禁用或删除恶意软件。然而，从技术角度来看，该方法是不同的。在知道恶意软件程序被编程为联系该服务器并执行该命令时，将特定命令放在抓住服务器上。在这种情况下，Web Shell没有定期查询命令的中央服务器，因此FBI必须通过攻击者左侧的后门单独连接到数百个受损系统并发出命令，这可以说是一种更积极的方法。此外，他们还制作了恶意程序的副本。

＆＃34;我认为它＆＃39; s一个有趣的变化，＆＃34; Blackcloak的Chris Pierson，Charcloak首席执行官，礼宾网络安全和高净值个人和商业管理人员的隐私解决方案提供商，告诉CSO。 ＆＃34;这是它的细微差别，使其无法逃亡。复制网壳 - 在公司中的技术上复制证据 - 没有他们的知识，然后没有他们的知识，然后在未经他们的知识中删除该网站，直到之后，这是一个不同的升级这使它无法前所未有。＆＃34;

在国土安全隐私和网络安全委员会部门还担任特别政府雇员的Pierson描述了FBI＆＃39;行动和＃34;主动防御。＆＃34;据他介绍，传统防守将是向受害者通知受害者，他们的服务器被感染，将它们指导到补丁并向他们提供指导和修复工具，但这更像是：＆＃34;我们相信你＆＃39;没有装备自己;它是一些在关键基础设施方面存在的存在威胁，因此，我们至少要做一些部分。＆＃34;

这是过去抓住指挥控制服务器和占用僵尸网络流量和突出的僵尸网络流量以及从许多观点的有趣的一步：Pierson说，透明度，主动网络防御和隐私。 ＆＃34;我认为它＆＃39;对于FBI决定在企业美国辩护中的积极作用，而且＃34是前所未有的事实。＆＃34;

似乎FBI和DOJ试图是透明的，并小心在这种情况下限制他们行动的范围。保证申请提到在FBI服务器上测试了removal命令，并在其技术评估期间与外部专家咨询的代​​码，以确保不会对其运行的受损系统或Microsoft Exchange软件产生不利影响。

这不意味着在诸如此类的行动期间可以占据所有风险和消除所有风险。例如，即使没有引起合法服务器功能的中断，也可能会删除恶意软件文件可能会对受影响的组织进行持续或未来的取证调查。也许攻击者通过后门采取的额外行动的证据也可以意外删除。

＆＃34;肯定是公司需要注意和它的东西＆＃39;应该需要透明度的东西，＆＃34;皮尔森说。 ＆＃34;可能有许多不同的东西[可能出错]。它可能只是一个服务器是一个超级封蜜蛋白，它由安全供应商经营，而且它将他们的研究变成恶意软件。“

皮尔森认为联邦机构需要权衡意外后果，并对他们透明和开放。 “太多了，什么是正确的，我们希望我们的联邦机构或联邦合作伙伴在互联网的安全和生态系统方面发挥了什么作用？”他说。 “这些是肯定需要更多的问题。＆＃34;