服务器上出现Black Kingdom勒索软件

日以来，研究人员发现有黑客团伙开始使用Black KingDom勒索软件来针对易受攻击的Exchange服务器，这款勒索软件并不复杂，其组成甚至显得有些初级和业余，但仍可能造成很大的损害。它可能与去年运行于易受攻击的Pulse Secure VPN集中器软件的同名勒索软件有关。

Web Shell交付

Black KingDom的交付是通过远程服务器进行编排的，该远程服务器的IP地址定位到德国的185.220.101.204，而攻击者的运行地址是185.220.101.216，由于两个IP地址都属于Tor出口节点，因此无法知道攻击者的实际位置。

攻击者利用的是Microsoft Exchange Server本地部署版本的远程代码执行(RCE)漏洞，也称为ProxyLogon(CVE-2021-27065)。

成功突破Exchange服务器后，攻击者通过webshell对服务器的远程访问，进而执行任意命令。n_string函数调用生成一个长度为64个字符的随机字符串，脚本使用MD5对该值进行散列，之后转换为十六进制字符，将其用作加密密钥。

同时还生成gen_id，这是勒索软件嵌入到赎金票据中的受害者标识符。然后将密钥和gen_id上传到mega.io帐户，如果勒索软件由于某种原因无法将此随机生成的加密密钥上传到Mega，则其回退形式为硬编码的静态密钥：

（编辑：厦门站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!