1、立即隔离受感染服务器,禁用交换机端口并封锁出站流量;2、检查IIS日志中异常URL请求及事件日志,确认是否遭ProxyLogon等漏洞利用;3、扫描Exchange目录下可疑Web Shell文件并删除;4、安装最新Exchange累积更新补丁并修复配置;5、启用MFA与审计策略,监控异常登录与PowerShell行为。
如果您发现企业的 Windows Exchange 服务器在无明显操作的情况下被植入恶意程序,并出现数据加密与勒索提示,可能是攻击者利用已知漏洞通过 LockBit 勒索软件实施了攻击。以下是针对该问题的排查与应对步骤:
本文运行环境:Dell PowerEdge R750,Windows Server 2022
一、隔离受感染服务器
为防止勒索软件在网络内部横向扩散,必须立即切断受感染 Exchange 服务器与其他系统的通信。
1、登录网络管理控制台,定位到该服务器所连接的交换机端口。
2、将该端口设置为禁用状态或划分至隔离 VLAN。
3、在防火墙中添加规则,阻止来自该服务器的全部出站流量。
二、确认漏洞利用路径
LockBit 团伙常利用未修补的 Exchange Server 漏洞进行初始访问,如 ProxyLogon(CVE-2021-26855)或类似 SSRF 漏洞。
1、检查 IIS 日志文件路径 C:\inetpub\logs\LogFiles\W3SVC1\ 中是否存在异常的 URL 请求。
2、搜索日志中包含 /owa/auth.owa 或 /ecp/proxyLogon.ecp 的请求记录。
3、使用 PowerShell 执行 Get-EventLog -LogName Application | Where-Object {$_.Message -like "*Exchange*"} 查看近期服务异常事件。
三、扫描并清除恶意 Web Shell
攻击者通常在成功利用漏洞后上传 Web Shell 以维持持久访问,这些脚本是后续部署勒索软件的关键载体。
1、进入 Exchange 安装目录,默认位于 C:\Program Files\Microsoft\Exchange Server\v15\,检查以下子目录:ClientAccess、FrontEnd、HttpProxy。
2、查找最近修改的 .aspx、.ashx 或 .xml 文件,特别是命名类似于 shell.aspx 或 debug.aspx 的可疑文件。
3、对所有可疑文件执行哈希校验并与已知安全版本比对,确认后立即删除。
四、应用安全更新与补丁
确保 Exchange Server 已安装最新的累积更新和安全补丁,以关闭已知攻击入口。
1、访问 Microsoft 官方支持网站,下载适用于当前 Exchange 版本的最新 CU 更新包。
2、在测试环境中验证补丁兼容性后,在维护窗口期间执行安装。
3、安装完成后运行 Exchange Server 配置助手(Setup.exe /Mode:RecoverServer),确保组件正常启动。
五、启用多层身份验证与审计策略
强化身份验证机制可有效降低非法远程调用的风险,同时增强日志记录有助于快速响应未来威胁。
1、在 Active Directory 中为所有 Exchange 管理账户启用多因素认证(MFA)。
2、通过组策略启用详细审核策略,包括对象访问、进程创建和登录事件。
3、配置 SIEM 系统实时监控来自 Exchange 服务器的 异常 PowerShell 启动行为 或高频率失败登录尝试。
