欢迎进入UG环球官网(环球UG)!

买usdt最便宜的地方(www.caibao.it):Nefilim勒索软件团伙使用幽灵账户举行攻击

admin2周前161

USDT自动充值

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

研究人员示意, 此次Nefilim勒索软件攻击是由一个不受系统监控的账户泄露导致的,此次流动攻击了100多个系统,观察发现,该账户属于公司一名员工,然则该员工已于三个月前去世了。

Nefilim(又名Nemty)是2020年泛起的一种勒索软件,攻击者采取了一种被称为双重勒索的计谋。换句话说,Nefilim威胁说,若是受害者不支付赎金,就会向民众宣布数据;它有自己建立在TOR节点上泄密网站,名为Corporate Leaks。最主要的是,它在去年年头还攻击了澳大利亚运输巨头Toll团体。

凭据Sophos研究员Michael Heller的说法,在最近的一次攻击中,攻击者通过行使Citrix软件的破绽对系统举行入侵,之后该团伙获得了一个治理员账户的接见权限。然后行使Mimikatz窃取了一个域治理账户的凭证。

Nefilim隐藏了一个月,窃取了大量数据

Sophos通过取证剖析发现,该组织安装的Citrix Storefront 7.15 CU3在事发时存在一个已知的平安破绽(CVE-2019-11634)和四个高危破绽(CVE-2019-13608、CVE-2020-8269、CVE-2020-8270、CVE-2020-8283)。Storefront是一个企业应用商铺,员工可以用它来下载被企业批准使用的应用。

团队发现,险些可以一定的是,犯罪分子是从这里进入到受害者网络的。

在行使Citrix破绽进入到公司的网络后,为了维持对攻击中使用的初始治理账户的远程接见权限,攻击者还使用了远程桌面协议(RDP)对跳板机举行登录。

为了能够横向移动,攻击者使用了Mimikatz,它允许攻击者枚举和查看系统上存储的凭证。掌握了这些信息,他们就可以入侵一个域治理员账户。

Windows中的域治理员账户是一个可以编辑流动目录信息的账户。它可以修改流动目录服务器的设置,可以修改流动目录中存储的任何内容。包罗建立新用户、删除用户和改变用户的权限。因此,域治理员对于网络有很大的控制权限。 

Heller在周二的剖析中注释说:"平安响应观察组随后发现犯罪分子使用PowerShell下令以及使用RDP和Cobalt Strike横向移动到多个主机,然后对内网举行信息侦探和枚举攻击。攻击者还安装了文件传输和同步应用程序MEGA,以便后续举行数据传输;而且Nefilim勒索软件二进制文件是通过使用被入侵的域治理员账户的Windows治理工具(WMI)来部署的。"

Heller说,Nefilim攻击者启动勒索软件举行攻击之前,在受害者的网络内部总共呆了约莫一个月,为了制止被发现,他们经常在午夜举行流动。

,

usdt支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

他在周二的一篇文章中指出:"攻击者在获取了该治理账户的接见权限后,然后用了一个月的时间在企业内网悄悄移动,窃取域治理账户的凭证,然后找到了他们想要的数据文件,总共窃取了数百GB的数据,最后又使用勒索软件对企业举行攻击"。

幽灵账户:失败的网络平安治理

此次攻击的问题在于,网络犯罪分子是通过使用一个已经不在公司的员工的账户来获取的公司的数据秘钥。事实上,这个账户的所有者已经不在人世间了。研究人员示意,这类 "幽灵 "账户给企业带来了很高的平安风险,由于系统没有监视这类账号的流动,这类账户在治理方面缺乏需要的平安措施。

Sophos平安响应司理Peter Mackenzie告诉客户,另一种更隐藏的攻击者可能已经隐藏了几个月,窃取了公司系统中所有的敏感信息。

"若是他们没有部署勒索软件,在客户不知情的情况下,攻击者所拥有的域治理员权限在网络中可以使用多长时间呢?"

因此,若是在建立或使用域治理账户时能够发出警报,就有可能防止攻击。在之前的一个案例中,Sophos的研究人员看到一个攻击者获得了组织网络的接见权限,建立了一个新的用户,并将该账户添加到了流动目录的域治理组中。然则,这个历程没有触发任何警报。

Mackenzie说:"谁人新的域治理账户连续删除了约莫150个虚拟服务器,并使用微软BitLocker加密服务器举行备份。"

防止攻击最好的方式是将这类账户完全停止使用,但该组织示意,"由于有的服务需要这类账户",以是它一直没有被禁用。

Heller指出:"若是一个组织在某人脱离公司后真的需要一个账户,他们应该使用服务账户,并设置为拒绝交互式登录,防止用户泛起任何违规的流动,或者,若是他们不需要这个账户去做其他事情,就禁用它,并对流动目录定期举行审计。若是有账户被添加到域治理员组中,流动目录审计计谋就可以设置为监控治理员账户流动。"

Mackenzie说,一般来说,需要指定为域治理员的账户比通俗的域成员账户要少得多。

他说:"人们认为,若是一个人是高管或卖力网络的工作人员,那么他们就需要使用域治理员账户。这并不合理,而且很危险,任何具有特权的帐户都不应该被默认用于不需要该级别权限的工作人员中。用户应该将权限在需要时提升到所需权限 "。

制止此类攻击的最合理的方式是:只授予特定义务或角色所需的接见权限;禁用不再需要使用的账户;使用服务账户并拒绝任何 "幽灵 "账户的交互式登录;对Active Directory举行定期审计,监控治理员账户流动并查看是否有新的账户添加到域治理员组。

本文翻译自:https://threatpost.com/nefilim-ransomware-ghost-account/163341/:
上一篇 下一篇

猜你喜欢

网友评论

  • 2021-06-25 00:04:18

    值得一提的是,慈城镇还在冯俞宅内设立了“体验民俗,爱国爱家”通关项目,约请小同伙与家长用泥塑一起DIY生日蛋糕,庆祝建党100周年。 我很稀罕你哦

随机文章
热门文章
热评文章
热门标签