最近的研究表明，威脅攻擊者使用了一套用作加密的PowerShell指令碼部署了新的勒索軟體，它利用未打補丁的Exchange伺服器的漏洞來攻擊企業網路。

Sophos首席研究員Andrew Brandt在網上發表的一份報告中寫道，安全公司Sophos的研究人員在調查一家總部設在美國的酒店業公司的攻擊時發現了這種新的勒索軟體，並命名為Epsilon Red。

這個名字是由攻擊者自己創造的，他們可能和使用REvil勒索軟體進行攻擊的是同一批人，這個名字是X戰警漫威漫畫中的一個不起眼的敵人角色的名稱。這個角色是一個 “據稱來自俄羅斯的超級士兵”，同時還配備了四個機械觸角。這似乎代表了勒索軟體將其攻擊範圍伸入到企業內部的方式。

他寫道：”雖然該惡意軟體本身是一個用Go程式語言編寫的未加殼的64位Windows可執行程式，但它的交付系統更復雜一些，它會依靠一系列的PowerShell指令碼，為受害者的機器準備好勒索軟體有效載荷，並在最終啟動它。”

勃蘭特寫道，我們在留在受感染電腦上的勒索資訊中找到了與REvil集團的一些聯絡，它和Revil勒索軟體留下的字條非常相似，只是做了一些微小的語法修正，這樣對於英語母語者來說更容易閱讀。然而，該勒索軟體工具和名稱似乎是攻擊者自定義的，而且與之前的REvil攻擊載體沒有其他相似之處。

根據該報告，Sophos在觀察到的攻擊中的受害者最終在5月15日支付了4。29比特幣的贖金，相當於當時的21萬美元左右。

具有攻擊性的PowerShell

最初切入點是對一個未打補丁的企業微軟Exchange伺服器進行攻擊，攻擊者可以在那裡使用Windows Management Instrumentation（WMI）軟體——一種在Windows生態系統中自動操作的指令碼工具，然後將其他軟體安裝到他們可以從Exchange伺服器訪問到的網路內的機器上。

目前還不完全清楚攻擊者是否利用了臭名昭著的Exchange ProxyLogon漏洞，該漏洞是今年早些時候微軟曝出的一個高危漏洞。然而，據Brandt觀察，網路中使用未打補丁的伺服器確實容易受到這一漏洞的攻擊。

在這個攻擊過程中，攻擊者使用了一系列的PowerShell指令碼，並將其編號為1。ps1至12。ps1，還有一些以字母表中的單個字母命名的指令碼，為被攻擊的機器準備最後的有效載荷。他寫道，這些指令碼還交付並啟動了Epsilon Red有效載荷。

PowerShell指令碼使用了一種初級形式的混淆方法，但這並不妨礙Sophos研究人員對其進行分析，但Brandt指出：“這種方式可能足以逃避反惡意軟體工具的檢測，然後該工具可以順利的掃描硬碟上的檔案，這正是攻擊者所需要的”。

有效載荷的交付

Brandt解釋說：”該勒索軟體本身是一個名為RED。exe的檔案，它使用了一個名為MinGW的工具進行編譯，並使用修改後的打包工具UPX進行打包。有效載荷包含了GitHub上一個名為 “godirwalk ”的開源專案的一些程式碼，使其能夠掃描其執行的硬碟上的目錄路徑，並將其編譯成為一個列表。”

他寫道：“然後勒索軟體會產生一個新的子程序，分別對每個子資料夾進行加密，這在短時間內會導致許多勒索軟體副本程序同時執行。

Brandt觀察到，可執行檔案本身是一個小檔案，是一個很簡單的程式，只是用於對目標系統上的檔案進行加密，不進行網路連線或有其他的任何關鍵功能，所有這些功能都在PowerShell指令碼內進行實現。

由於攻擊的切入點是未打補丁的微軟Exchange伺服器，很容易受到ProxyLogon漏洞的影響，Sophos建議管理員儘快將所有伺服器更新並及時對其打補丁，防止攻擊的發生。

參考及來源：https：//threatpost。com/exchange-servers-epsilon-red-ransomware/166640/