中国骇客GhostEmperor利用ProxyLogon漏洞，在受害电脑植入蠕虫Demodex

自Exchange Server重大漏洞“ProxyLogon”被揭露之后，陆续传出有骇客组织利用这个系列漏洞，入侵并发动攻击。例如，日前ESET揭露名为FamousSparrow的网络间谍组织，便于微软推出漏洞修补程式的隔日（3月3日），开始锁定具有这项漏洞的Exchange Server，对于饭店业者植入后门程式。

有鉴于这种利用ProxyLogon漏洞发动攻击的现象升温，引起不少资安人员相关切，并于近期公布研究结果。例如，卡巴斯基先在7月提及名为GhostEmperor的中国骇客组织，并于9月30日揭露该组织的攻击手法细节。

卡巴斯基根据骇客所使用的工具，研判GhostEmperor至少于2020年7月就开始活动，于受害组织植入Demodex蠕虫程式以进行监控，他们主要目标是东南亚的国家，但除此之外，研究人员也看到在埃及、阿富汗、埃塞俄比亚等多个国家，有数个-实体与电信公司遭到攻击。研究人员认为，骇客的技术相当高超，因为他们作案的手法极不寻常，且包含了反鉴识与反分析的技术。

锁定可从互联网存取的网页应用程序

对于这个组织入侵攻击目标的管道，卡巴斯基提及骇客找寻曝露在互联网的服务器下手，攻击者植入恶意工具的方式，是透过应用程序服务器的处理程序──包含了Apache服务器的HTTP.exe、IIS服务器的W3WP.exe，以及Orcale服务器的OC4J.jar等。研究人员认为，攻击者应该是运用这些网页应用程序的漏洞，而能够使用上述的处理程序来夹带并执行恶意程式。

而在锁定上述网页应用程序服务器之外，攻击者较为近期锁定的目标，便是存在ProxyLogon漏洞的Exchange Server。卡巴斯基指出，GhostEmperor在3月4日时（即微软发布修补程式2日后）运用这项漏洞，来感染一台Exchange Server，进而达到执行RCE攻击的目的。

多采用操作系统内建工具来掩盖攻击意图

究竟攻击者如何入侵受害的网页应用服务器呢？卡巴斯基指出，通常GhostEmperor会透过BAT指令码来启动相关流程，但他们也看到运用Windows内建的防毒软件（Microsoft Defender），借由其中的命令列执行工具MpCmdRun.exe，来侧载恶意DLL档案，同时攻击者借着这个DLL档案，来侧载license.rtf，虽然从副档名的部分来看应该是RTF文件，但卡巴斯基表示，这实际上是可执行档案。

除了上述借由内建防毒软件档案来侧载的情况，卡巴斯基指出，他们还看到GhostEmperor滥用其他的合法工具，像是WMI或是PsExec等，来横向感染内部网络的其他电脑，来部署Demodex。

在成功潜入受害电脑并下载作案工具后，骇客为了避免攻击行为被发现，研究人员看到攻击者不只使用混淆等规避手法，也使用Cheat Engine里面的驱动程式dbk64.sys，来绕过操作系统的驱动程式强制签章机制，让Demodex不致遭到封锁。

附带一提的是，卡巴斯基指出，对于执行最新版Windows 10操作系统的电脑，攻击者也特别针对这个操作系统加入相关程式码，而能让蠕虫程式持续在这些电脑上运作。