Nefilim勒索软件团伙使用幽灵账户进行攻击
研究人员表示,此次Nefilim勒索软件攻击是由一个不受系统监控的账户泄露导致的,此次活动攻击了100多个系统,调查发现,该账户属于公司一名员工,但是该员工已于三个月前去世了。
Nefilim(又名Nemty)是2020年出现的一种勒索软件,攻击者采取了一种被称为双重勒索的策略。换句话说,Nefilim威胁说,如果受害者不支付赎金,就会向公众公布数据;它有自己建立在TOR节点上泄密网站,名为CorporateLeaks。最重要的是,它在去年年初还攻击了澳大利亚运输巨头Toll集团。
根据Sophos研究员MichaelHeller的说法,在最近的一次攻击中,攻击者通过利用Citrix软件的漏洞对系统进行入侵,之后该团伙获得了一个管理员账户的访问权限。然后利用Mimikatz窃取了一个域管理账户的凭证。
Nefilim潜伏了一个月,窃取了大量数据
Sophos通过取证分析发现,该组织安装的Citrix Storefront7.15CU3在事发时存在一个已知的安全漏洞(CVE-2019-11634)和四个高危漏洞(CVE-2019-13608、CVE-2020-8269、CVE-2020-8270、CVE-2020-8283)。Storefront是一个企业应用商店,员工可以用它来下载被企业批准使用的应用。
团队发现,几乎可以肯定的是,犯罪分子是从这里进入到受害者网络的。
在利用Citrix漏洞进入到公司的网络后,为了维持对攻击中使用的初始管理账户的远程访问权限,攻击者还使用了远程桌面协议(RDP)对跳板机进行登录。
为了能够横向移动,攻击者使用了Mimikatz,它允许攻击者枚举和查看系统上存储的凭证。掌握了这些信息,他们就可以入侵一个域管理员账户。
Heller在周二的分析中解释说:"安全响应调查组随后发现犯罪分子使用PowerShell命令以及使用RDP和CobaltStrike横向移动到多个主机,然后对内网进行信息侦察和枚举攻击。攻击者还安装了文件传输和同步应用程序MEGA,以便后续进行数据传输;并且Nefilim勒索软件二进制文件是通过使用被入侵的域管理员账户的windows管理工具(WMI)来部署的。"
Heller说,Nefilim攻击者启动勒索软件进行攻击之前,在受害者的网络内部总共呆了大约一个月,为了避免被发现,他们经常在半夜进行活动。
他在周二的一篇文章中指出:"攻击者在获取了该管理账户的访问权限后,然后用了一个月的时间在企业内网悄悄移动,窃取域管理账户的凭证,然后找到了他们想要的数据文件,总共窃取了数百GB的数据,最后又使用勒索软件对企业进行攻击"。
此次攻击的问题在于,网络犯罪分子是通过使用一个已经不在公司的员工的账户来获取的公司的数据秘钥。事实上,这个账户的所有者已经不在人世间了。研究人员表示,这类"幽灵"账户给企业带来了很高的安全风险,由于系统没有监视这类账号的活动,这类账户在管理方面缺乏必要的安全措施。
Sophos安全响应经理Peter Mackenzie告诉客户,另一种更隐蔽的攻击者可能已经潜伏了几个月,窃取了公司系统中所有的敏感信息。
"如果他们没有部署勒索软件,在客户不知情的情况下,攻击者所拥有的域管理员权限在网络中可以使用多长时间呢?"
因此,如果在创建或使用域管理账户时能够发出警报,就有可能防止攻击。在之前的一个案例中,Sophos的研究人员看到一个攻击者获得了组织网络的访问权限,创建了一个新的用户,并将该账户添加到了活动目录的域管理组中。但是,这个过程没有触发任何警报。
Mackenzie说:"那个新的域管理账户持续删除了大约150个虚拟服务器,并使用微软BitLocker加密服务器进行备份。"
防止攻击最好的方法是将这类账户完全停止使用,但该组织表示,"因为有的服务需要这类账户",所以它一直没有被禁用。
Heller指出:"如果一个组织在某人离开公司后真的需要一个账户,他们应该使用服务账户,并设置为拒绝交互式登录,防止用户出现任何违规的活动,或者,如果他们不需要这个账户去做其他事情,就禁用它,并对活动目录定期进行审计。如果有账户被添加到域管理员组中,活动目录审计策略就可以设置为监控管理员账户活动。"
Mackenzie说,一般来说,需要指定为域管理员的账户比普通的域成员账户要少得多。
他说:"人们认为,如果一个人是高管或负责网络的工作人员,那么他们就需要使用域管理员账户。这并不合理,而且很危险,任何具有特权的帐户都不应该被默认用于不需要该级别权限的工作人员中。用户应该将权限在需要时提升到所需权限"。
避免此类攻击的最合理的方法是:只授予特定任务或角色所需的访问权限;禁用不再需要使用的账户;使用服务账户并拒绝任何 "幽灵"账户的交互式登录;对ActiveDirectory进行定期审计,监控管理员账户活动并查看是否有新的账户添加到域管理员组。
推荐系统
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
相关文章
- 如何有效保护投影机灯泡 保护投影机灯泡方法【详解】
- IBM Security 报告:助力抗击新冠肺炎疫情的多个行业惨遭网络攻击
- win2003中浏览器每次网络访问都会有安全警告怎么办?
- wifi无线网络摄像机怎么安装 wifi无线网络摄像机安装过程
- 华为路由器儿童上网保护模式怎么设置?
- 小心合作伙伴 51%组织数据由第三方泄露
- Mac新恶意软件Silver Sparrow的奥秘
- Facebook被爆以往漏洞泄密,用户隐私信息被出售
- 美国最大燃油管道被黑客攻击惨遭关闭:目标只是为了赚钱
- 黑客的天敌!人工智能如何帮助抵御网络攻击?
- Remote Mouse App 6个0 day漏洞,1000万用户受影响
- 针对全球SSH服务器的新型无文件P2P僵尸网络悄然入侵?
- 我的照片.exe顽固病毒 qq我的照片病毒的解决办法
- CertiK:一朝跌落云端,Yam Finance智能合约漏洞事件分析
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
系统大小:3.13GB系统类型:Win7 - 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
系统大小:3.98GB系统类型:Win10 - 3雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
系统大小:3.13GB系统类型:Win7 - 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
系统大小:3.98GB系统类型:Win10 - 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载系统大小:3.98GB系统类型:Win10
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载系统大小:3.98GB系统类型:Win10
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
系统大小:3.98GB系统类型:Win10 - 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
系统大小:3.13GB系统类型:Win7 - 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
系统大小:3.45GB系统类型:Win8 - 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
系统大小:3.45GB系统类型:Win8
热门文章
常用系统
- 1深度技术 Windows 10 x64 企业版 电脑城装机版2020年10月(64位) 高速下载系统大小:3.98GB系统类型:Win10
- 2雨林木风 Ghost Win7 SP1 新春特别 装机版 2022年2月(32位) 提供下载系统大小:3.13GB系统类型:Win7
- 3雨林木风系统 Ghost XP SP3 装机版 YN2020年7月 ISO镜像高速下载
系统大小:3.96GB系统类型:WinXP - 4雨林木风Ghost Win8.1 (X32) 快速纯净版2021年4月(免激活) ISO镜像快速下载
系统大小:3.45GB系统类型:Win8 - 5新雨林木风 Windows10 x86 企业装机版2022年1月(32位) ISO镜像高速下载
系统大小:3.15GB系统类型:Win10 - 6电脑公司 装机专用系统Windows10 x64 企业版2022年2月(64位) ISO镜像高速下载系统大小:3.98GB系统类型:Win10
- 7深度技术Ghost Win7 Sp1 电脑城万能装机版2020年4月(32位) ISO高速下载
系统大小:3.13GB系统类型:Win7 - 8电脑公司 装机专用系统Windows10 x86新春特别 企业版2020年2月(32位) ISO镜像快速下载系统大小:3.98GB系统类型:Win10
- 9新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年5月(32位) ISO镜像高速下载系统大小:3.98GB系统类型:Win10
- 10番茄花园GhostWin7 SP1电脑城新春特别 极速装机版2020年2月(32位) 最新高速下载
系统大小:3.13GB系统类型:Win7