研究人员说 这次Nefilim勒索软件攻击是由一个不受系统监控的账户泄露引起的。该活动攻击了100多个系统。调查发现,该账户属于该公司的一名员工,但该员工三个月前去世。
Nefilim(又名Nemty)是2020年出现的一种勒索软件,攻击者采取了一种叫做双重勒索的策略。换句话说,Nefilim威胁说,如果受害者不支付赎金,数据将向公众公布;它是基于它自己的TOR节点泄密网站叫Corporate Leaks。最重要的是,它在去年年初攻击了澳大利亚运输巨头Toll集团。
根据Sophos研究员Michael Heller在最近的一次攻击中,攻击者使用了它Citrix该软件的漏洞侵入了该系统,该团伙获得了管理员账户的访问权。然后使用它Mimikatz域管理账户的凭证被盗。
Nefilim潜伏了一个月,窃取了大量数据
Sophos通过取证分析发现,该组织安装了Citrix Storefront 7.15 CU3事发时有已知的安全漏洞(CVE-2019-11634)还有四个高危漏洞(CVE-2019-13608、CVE-2020-8269、CVE-2020-8270、CVE-2020-8283)。Storefront是企业应用商店,员工可以下载企业批准的应用。
团队发现,犯罪分子从这里进入受害者 *** 几乎是肯定的。
在利用Citrix漏洞进入公司 *** 后,攻击者还使用远程桌面协议,以保持攻击中使用的初始管理账户的远程访问权限(RDP)登录跳板机。
攻击者用于横向移动Mimikatz,它允许攻击者枚举和查看系统中存储的凭证。有了这些信息,他们就可以入侵域管理员账户。
Windows域管理员账户是一个可以编辑活动目录信息的账户。它可以修改活动目录服务器的配置和存储在活动目录中的任何内容。包括创建新用户、删除用户和改变用户权限。因此,域管理员对 *** 有很大的控制权。
Heller解释说:"然后发现犯罪分子使用了安全响应调查组PowerShell命令和使用RDP和Cobalt Strike横向移动到多个主机,然后对内网进行信息侦察和枚举攻击。攻击者还安装了文件传输和同步应用程序MEGA,以便后续数据传输;Nefilim勒索软件二进制文件是使用入侵域管理员账户的Windows管理工具(WMI)来部署的。"
Heller说,Nefilim在攻击者启动勒索软件攻击之前,他们在受害者的 *** 内呆了大约一个月。为了避免被发现,他们经常在半夜活动。
他在周二的一篇文章中指出:"攻击者在获得管理账户的访问权限后,花了一个月的时间在企业内网悄悄移动,窃取了管理账户的凭证,然后找到了他们想要的数据文件,窃取了数百个GB的数据,最后又使用勒索软件对企业进行攻击"。
幽灵账户: *** 安全管理失败
攻击的问题是, *** 犯罪分子使用不再在公司的员工账户获取公司的数据密钥。事实上,这个账户的所有者已经不在世界上了。研究人员说,这种 "幽灵 "账户给企业带来了很高的安全风险,由于系统没有监视这类账号的活动,这类账户在管理方面缺乏必要的安全措施。
Sophos安全响应经理Peter Mackenzie告诉客户,另一个更隐蔽的攻击者可能已经潜伏了几个月,窃取了公司系统中的所有敏感信息。
"如果他们不部署勒索软件,攻击者拥有的域管理员权限在 *** 中能在客户不知情的情况下使用多久?"
因此,如果能够在创建或使用域管理账户时发出警报,就有可能防止攻击。在之前的情况下,Sophos研究人员看到攻击者获得了组织 *** 的访问权限,创建了一个新用户,并将该账户添加到活动目录的域管理小组中。然而,这个过程并没有引发任何警报。
Mackenzie说:"新的域管理账户继续删除约150个虚拟服务器,并使用微软BitLocker备份加密服务器。"
防止攻击的更好 *** 是完全停止使用此类账户,但该组织表示,"因为有些服务需要这样的账户",因此,它从未被禁止。
Heller指出:"如果一个组织离开公司后真的需要一个账户,他们应该使用服务账户,并设置为拒绝互动登录,以防止任何非法活动,或者如果他们不需要这个账户来做其他事情,他们应该禁止它,并定期审计活动目录。如果将账户添加到域管理员组中,则可以将活动目录的审计策略设置为监控管理员的账户活动。"
Mackenzie一般来说,需要指定为域管理员的账户比普通域成员账户少得多。
他说:"人们认为,如果一个人是高管或负责 *** 的工作人员,他们需要使用域管理员账户。这是不合理和危险的。任何具有特权的账户都不应默认用于不需要该级别权限的工作人员。用户在需要时应将权限提高到所需权限 "。
避免这种攻击最合理的 *** 是只授予特定任务或角色所需的访问权限;禁止不再需要使用的账户;使用服务账户并拒绝任何 "幽灵 "交互交互登录;对Active Directory定期审计,监控管理员账户活动,检查是否有新账户添加到域管理员组。
本文翻译自:https://threatpost.com/nefilim-ransomware-ghost-account/163341/如果转载,请注明原始地址。