LockBit 勒索软件通过 Windows Exchange 服务器漏洞部署

1、立即隔离受感染服务器，禁用交换机端口并封锁出站流量；2、检查IIS日志中异常URL请求及事件日志，确认是否遭ProxyLogon等漏洞利用；3、扫描Exchange目录下可疑Web Shell文件并删除；4、安装最新Exchange累积更新补丁并修复配置；5、启用MFA与审计策略，监控异常登录与PowerShell行为。

如果您发现企业的 Windows Exchange 服务器在无明显操作的情况下被植入恶意程序，并出现数据加密与勒索提示，可能是攻击者利用已知漏洞通过 LockBit 勒索软件实施了攻击。以下是针对该问题的排查与应对步骤：

本文运行环境：Dell PowerEdge R750，Windows Server 2022

一、隔离受感染服务器

为防止勒索软件在网络内部横向扩散，必须立即切断受感染 Exchange 服务器与其他系统的通信。

1、登录网络管理控制台，定位到该服务器所连接的交换机端口。

2、将该端口设置为禁用状态或划分至隔离 VLAN。

3、在防火墙中添加规则，阻止来自该服务器的全部出站流量。

二、确认漏洞利用路径

LockBit 团伙常利用未修补的 Exchange Server 漏洞进行初始访问，如 ProxyLogon（CVE-2021-26855）或类似 SSRF 漏洞。

1、检查 IIS 日志文件路径 C:\inetpub\logs\LogFiles\W3SVC1\ 中是否存在异常的 URL 请求。

2、搜索日志中包含 /owa/auth.owa 或 /ecp/proxyLogon.ecp 的请求记录。

3、使用 PowerShell 执行 Get-EventLog -LogName Application | Where-Object {$_.Message -like "*Exchange*"} 查看近期服务异常事件。

三、扫描并清除恶意 Web Shell

攻击者通常在成功利用漏洞后上传 Web Shell 以维持持久访问，这些脚本是后续部署勒索软件的关键载体。

1、进入 Exchange 安装目录，默认位于 C:\Program Files\Microsoft\Exchange Server\v15\，检查以下子目录：ClientAccess、FrontEnd、HttpProxy。

AI卡通生成器

免费在线AI卡通图片生成器 | 一键将图片或文本转换成精美卡通形象

51

查看详情

2、查找最近修改的 .aspx、.ashx 或 .xml 文件，特别是命名类似于 shell.aspx 或 debug.aspx 的可疑文件。

3、对所有可疑文件执行哈希校验并与已知安全版本比对，确认后立即删除。

四、应用安全更新与补丁

确保 Exchange Server 已安装最新的累积更新和安全补丁，以关闭已知攻击入口。

1、访问 Microsoft 官方支持网站，下载适用于当前 Exchange 版本的最新 CU 更新包。

2、在测试环境中验证补丁兼容性后，在维护窗口期间执行安装。

3、安装完成后运行 Exchange Server 配置助手（Setup.exe /Mode:RecoverServer），确保组件正常启动。

五、启用多层身份验证与审计策略

强化身份验证机制可有效降低非法远程调用的风险，同时增强日志记录有助于快速响应未来威胁。

1、在 Active Directory 中为所有 Exchange 管理账户启用多因素认证（MFA）。

2、通过组策略启用详细审核策略，包括对象访问、进程创建和登录事件。

3、配置 SIEM 系统实时监控来自 Exchange 服务器的 异常 PowerShell 启动行为 或高频率失败登录尝试。

以上就是LockBit 勒索软件通过 Windows Exchange 服务器漏洞部署的详细内容，更多请关注php中文网其它相关文章！