欢迎进入allbetGaming网址:www.aLLbetgame.us!

usdt充提教程(www.caibao.it):微软的MSERT工具现在可以从Exchange Server攻击中找到web shell

AllbetGaming4周前50

USDT自动API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

Microsoft已为其Microsoft平安扫描程序(MSERT)工具推出了一个新更新,以检测在最近的Exchange Server攻击中部署的Web Shell。

3月2日,Microsoft披露,有四个Exchange Server 0day破绽被用于露出的Outlook On the web(OWA)服务器。这些破绽被跟踪为CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。

这些破绽被称为“ ProxyLogon”,威胁介入者正在使用这些破绽窃取邮箱, *** 凭证以及部署Web Shell来接见内部 *** 。

当Microsoft披露这些攻击时,他们已经宣布了Microsoft Defender的更新署名,这些署名将检测使用0day破绽安装的Web Shell。

Microsoft Defender使用以下署名检测到这些Web Shell:

· Exploit:Script/Exmann.A!dha

· Behavior:Win32/Exmann.A

· Backdoor:ASP/SecChecker.A

· Backdoor: *** /Webshell (not unique to these attacks)

· Trojan: *** /Chopper!dha (not unique to these attacks)

· Behavior:Win32/DumpLsass.A!attk (not unique to these attacks)

· Backdoor:HTML/TwoFaceVar.B (not unique to these attacks)

对于不使用Microsoft Defender的组织,Microsoft已将更新的署名添加到其Microsoft平安扫描器自力工具中,以辅助组织查找和删除在这些攻击中使用的Web Shell。

使用Microsoft平安扫描程序删除Web Shell

Microsoft平安扫描程序,也称为Microsoft支持紧要响应工具(MSERT),是一个自力的便携式反恶意软件工具,其中包罗Microsoft Defender署名,用于扫描和删除检测到的恶意软件。

MSERT是按需扫描程序,不会提供任何实时珍爱。因此,它仅应用于点扫描,而不应作为完整的防病毒程序使用。

此外,若是您未使用/N参数启动程序,则MSERT将自动删除所有检测到的文件,而且不会隔离它们,如中所示的msert.exe /N。要扫描Web Shell而不删除它们,您还可以使用本文末尾所述的PowerShell剧本。

可以将Microsoft平安扫描程序下载为32位或64位可执行文件,并凭证需要用于对盘算机执行点扫描。

启动该程序后,赞成允许协议,屏幕上将显示一个问题,询问您要执行哪种类型的扫描。

,

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

Microsoft建议您选择“完全扫描”选项来扫描整个服务器。

由于完全扫描可能需要很长时间,详细取决于安装的巨细,因此Microsoft还声明您可以对以下每个文件夹执行“自界说扫描”:

· %IIS installation path%\aspnet_client\*

· %IIS installation path%\aspnet_client\system_web\*

· %Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\*

· Configured temporary ASP.NET files path

· %Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*

扫描完成后,MSERT将讲述已删除哪些文件及其界说署名。

有关删除哪些文件的更多详细信息,可以查询 %SYSTEMROOT%\debug\msert.log文件,如下所示。

使用MSERT完成后,只需删除msert.exe可执行文件即可卸载该工具。

新的PowerShell剧本查找Web Shell

若是您想扫描web shell而不删除它们,可以使用由CERT拉脱维亚确立的,名为detect的新PowerShell剧本_webshell.ps1。

“ 2021年1月的初始流动归因于HAFNIUM,然则从那时起,其他威胁行为者就掌握了这些破绽并更先使用它们。在Microsoft公然披露信息和宣布补丁程序(自2月27日左右)之前,公然披露的Exchange服务器更先被不加区别地行使。”

CERT-LV在其项目说明中注释说:“因此,在Microsoft宣布最新的Exchange更新后不久安装这些更新并不能完全降低先前受到威胁的风险,因此应检查所有Exchange服务器是否存在未经授权的接见迹象。”。

此剧本将显示包罗web shell(而不是Microsoft Exchange)在ProxyLogon攻击中使用的特定字符串的文件。该剧本的优点是它不会删除文件,而使事宜响应者可以对其举行进一步剖析。

有关若何使用此剧本的更多信息,请参见CERT-LV项目的GitHub存储库。

Microsoft还宣布了一个名为Test-ProxyLogon.ps1的PowerShell剧本,该剧本可用于在Exchange和OWA日志文件中搜索与这些攻击相关的危害指标(IOC)。

本文翻译自:https://www.bleepingcomputer.com/news/security/microsofts-msert-tool-now-finds-web-shells-from-exchange-server-attacks/?__cf_chl_jschl_tk__=a656bb4f9b4388d5267df7a14e9b33a0d5eeddb2-1615609681-0-AUybHH9EIEPRdmSVYm4croX1oESBVfx1Su3wWwfxOJgqlz6a0VF1GDHygyS-4CobkezWe2Iueigb7xkgxBCKlvpKdp3AQ9Abbl2BAYNJR30Ka29_y9Coe19S9Hyjnyyt1J5iWtE7GZ7NzipWg0A4ZhCnc42VA_dND6vUJAwvDNVXiA44U93Iv4df3eM4BA4NNF5GY8WQsSl6k9pc9s-0rbI-uB5uE9WEJwTnZ1s1UltWkvnRzIxpj2RF0m8UdJ4sMtulX6AbpF24fEPmD1SDCoqwT6WIEugH00DUQcsS63Y9mUCCeVjfQF1TH0ZUKt *** r3AglOgJIwXc4UA72pZpBitGLXYJiSjP5_p391m6Nx5sEuJZOE4IEkUa-Hm8Jd6TVhhuDwmO70toqYUoKPjKIWf4XAMMCODrcgCzSUQm_zKmFIdh5NPL3u_S80v6o0aRWQ:
上一篇 下一篇

猜你喜欢

网友评论

最新文章
热门文章
热评文章
随机文章