最近的研究表明，威胁攻击者使用了一套用作加密的PowerShell脚本部署了新的勒索软件，它利用未打补丁的Exchange服务器的漏洞来攻击企业网络。 

Sophos首席研究员Andrew Brandt在网上发表的一份报告中写道，安全公司Sophos的研究人员在调查一家总部设在美国的酒店业公司的攻击时发现了这种新的勒索软件，并命名为Epsilon Red。

这个名字是由攻击者自己创造的，他们可能和使用REvil勒索软件进行攻击的是同一批人，这个名字是X战警漫威漫画中的一个不起眼的敌人角色的名称。这个角色是一个 "据称来自俄罗斯的超级士兵"，同时还配备了四个机械触角。这似乎代表了勒索软件将其攻击范围伸入到企业内部的方式。

他写道：”虽然该恶意软件本身是一个用Go编程语言编写的未加壳的64位Windows可执行程序，但它的交付系统更复杂一些，它会依靠一系列的PowerShell脚本，为受害者的机器准备好勒索软件有效载荷，并在最终启动它。”

勃兰特写道，我们在留在受感染电脑上的勒索信息中找到了与REvil集团的一些联系，它和Revil勒索软件留下的字条非常相似，只是做了一些微小的语法修正，这样对于英语母语者来说更容易阅读。然而，该勒索软件工具和名称似乎是攻击者自定义的，而且与之前的REvil攻击载体没有其他相似之处。

根据该报告，Sophos在观察到的攻击中的受害者最终在5月15日支付了4.29比特币的赎金，相当于当时的21万美元左右。

具有攻击性的PowerShell

最初切入点是对一个未打补丁的企业微软Exchange服务器进行攻击，攻击者可以在那里使用Windows Management Instrumentation（WMI）软件--一种在Windows生态系统中自动操作的脚本工具，然后将其他软件安装到他们可以从Exchange服务器访问到的网络内的机器上。

目前还不完全清楚攻击者是否利用了臭名昭著的Exchange ProxyLogon漏洞，该漏洞是今年早些时候微软曝出的一个高危漏洞。然而，据Brandt观察，网络中使用未打补丁的服务器确实容易受到这一漏洞的攻击。

在这个攻击过程中，攻击者使用了一系列的PowerShell脚本，并将其编号为1.ps1至12.ps1，还有一些以字母表中的单个字母命名的脚本，为被攻击的机器准备最后的有效载荷。他写道，这些脚本还交付并启动了Epsilon Red有效载荷。

PowerShell脚本使用了一种初级形式的混淆方法，但这并不妨碍Sophos研究人员对其进行分析，但Brandt指出："这种方式可能足以逃避反恶意软件工具的检测，然后该工具可以顺利的扫描硬盘上的文件，这正是攻击者所需要的"。

有效载荷的交付

Brandt解释说:”该勒索软件本身是一个名为RED.exe的文件，它使用了一个名为MinGW的工具进行编译，并使用修改后的打包工具UPX进行打包。有效载荷包含了GitHub上一个名为 "godirwalk "的开源项目的一些代码，使其能够扫描其运行的硬盘上的目录路径，并将其编译成为一个列表。”

他写道："然后勒索软件会产生一个新的子进程，分别对每个子文件夹进行加密，这在短时间内会导致许多勒索软件副本进程同时运行。

Brandt观察到，可执行文件本身是一个小文件，是一个很简单的程序，只是用于对目标系统上的文件进行加密，不进行网络连接或有其他的任何关键功能,所有这些功能都在PowerShell脚本内进行实现。

由于攻击的切入点是未打补丁的微软Exchange服务器，很容易受到ProxyLogon漏洞的影响，Sophos建议管理员尽快将所有服务器更新并及时对其打补丁，防止攻击的发生。

本文翻译自：https://threatpost.com/exchange-servers-epsilon-red-ransomware/166640/如若转载，请注明原文地址