LockBit利用Exchange漏洞发起勒索攻击

本文聚焦于LockBit勒索软件利用Windows Exchange服务器已知漏洞（如ProxyLogon）实施攻击的典型场景，系统梳理了从紧急隔离、漏洞路径确认、Web Shell清除、补丁修复到身份验证强化的五步实战响应流程，为运维人员提供了一套基于真实环境（Dell PowerEdge R750 + Windows Server 2022）的可操作、可落地的安全处置指南，帮助企业在遭遇数据加密与勒索威胁时快速止损、溯源并加固防线。

如果您发现企业的 Windows Exchange 服务器在无明显操作的情况下被植入恶意程序，并出现数据加密与勒索提示，可能是攻击者利用已知漏洞通过 LockBit 勒索软件实施了攻击。以下是针对该问题的排查与应对步骤：

本文运行环境：Dell PowerEdge R750，Windows Server 2022

一、隔离受感染服务器

为防止勒索软件在网络内部横向扩散，必须立即切断受感染 Exchange 服务器与其他系统的通信。

1、登录网络管理控制台，定位到该服务器所连接的交换机端口。

2、将该端口设置为禁用状态或划分至隔离 VLAN。

3、在防火墙中添加规则，阻止来自该服务器的全部出站流量。

二、确认漏洞利用路径

LockBit 团伙常利用未修补的 Exchange Server 漏洞进行初始访问，如 ProxyLogon（CVE-2021-26855）或类似 SSRF 漏洞。

1、检查 IIS 日志文件路径 C:\inetpub\logs\LogFiles\W3SVC1\ 中是否存在异常的 URL 请求。

2、搜索日志中包含 /owa/auth.owa 或 /ecp/proxyLogon.ecp 的请求记录。

3、使用 PowerShell 执行 Get-EventLog -LogName Application | Where-Object {$_.Message -like "*Exchange*"} 查看近期服务异常事件。

三、扫描并清除恶意 Web Shell

攻击者通常在成功利用漏洞后上传 Web Shell 以维持持久访问，这些脚本是后续部署勒索软件的关键载体。

1、进入 Exchange 安装目录，默认位于 C:\Program Files\Microsoft\Exchange Server\v15\，检查以下子目录：ClientAccess、FrontEnd、HttpProxy。

2、查找最近修改的 .aspx、.ashx 或 .xml 文件，特别是命名类似于 shell.aspx 或 debug.aspx 的可疑文件。

3、对所有可疑文件执行哈希校验并与已知安全版本比对，确认后立即删除。

四、应用安全更新与补丁

确保 Exchange Server 已安装最新的累积更新和安全补丁，以关闭已知攻击入口。

1、访问 Microsoft 官方支持网站，下载适用于当前 Exchange 版本的最新 CU 更新包。

2、在测试环境中验证补丁兼容性后，在维护窗口期间执行安装。

3、安装完成后运行 Exchange Server 配置助手（Setup.exe /Mode:RecoverServer），确保组件正常启动。

五、启用多层身份验证与审计策略

强化身份验证机制可有效降低非法远程调用的风险，同时增强日志记录有助于快速响应未来威胁。

1、在 Active Directory 中为所有 Exchange 管理账户启用多因素认证（MFA）。

2、通过组策略启用详细审核策略，包括对象访问、进程创建和登录事件。

3、配置 SIEM 系统实时监控来自 Exchange 服务器的 异常 PowerShell 启动行为 或高频率失败登录尝试。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~