安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

Microsoft Exchange漏洞被勒索软件Babuk利用（11月3日）

思科Talos最近发现了一个变种的Babuk勒索软件的恶意活动，该活动主要影响了美国用户，对英国、德国、乌克兰、芬兰、巴西、洪都拉斯和泰国的影响较少。

根据活动中使用的有效载荷文件名，活动的参与者有时被称为Tortilla，其一直在尝试其他有效负载，如基于powershell的netcat克隆Powercat。

详细情况

Cisco Talos发现了一项使用Cisco安全产品遥测技术的恶意活动，该活动针对易受攻击的 Microsoft Exchange服务器，并试图利用ProxyShell漏洞在受害者环境中部署Babuk勒索软件。该攻击者使用了一种略微不寻常的感染链技术，其中间解包模块托管在pastebin.com克隆 pastebin.pl上。在原始样本中嵌入的最终有效载荷被解密和执行之前，中间解包阶段在内存中下载和解码。

感染链

Cisco Talos发现了一个使用DLL或 .NET可执行文件的恶意活动。这两种类型的文件之一在目标系统上启动感染链。初始 .NET 可执行模块作为w3wp.exe的子进程运行，并调用命令外壳来运行混淆的PowerShell命令。

PowerShell命令发起一个web请求,并使用certutil.exe从fbixx和xxxs或者ip的服务器下载负载加载模块。

负载加载器从PasteBin克隆站点pastebin.pl下载一个中间解包阶段。解包器将嵌入木马资源部分的位图图像连接起来，并将有效载荷解密到内存中。负载被注入到进程AddInProcess32中，用于加密受害者服务器和所有已安装驱动器上的文件。

感染流程图

参考链接：

https://blog.talosintelligence.com/2021/11/babuk-exploits-exchange.html