研究人员表示, 此次Nefilim勒索软件攻击是由一个不受系统监控的账户泄露导致的,此次活动攻击了100多个系统,调查发现,该账户属于公司一名员工,但是该员工已于三个月前去世了。
Nefilim(又名Nemty)是2020年出现的一种勒索软件,攻击者采取了一种被称为双重勒索的策略。换句话说,Nefilim威胁说,如果受害者不支付赎金,就会向公众公布数据;它有自己建立在TOR节点上泄密网站,名为Corporate Leaks。最重要的是,它在去年年初还攻击了澳大利亚运输巨头Toll集团。
根据Sophos研究员Michael Heller的说法,在最近的一次攻击中,攻击者通过利用Citrix软件的漏洞对系统进行入侵,之后该团伙获得了一个管理员账户的访问权限。然后利用Mimikatz窃取了一个域管理账户的凭证。
Nefilim潜伏了一个月,窃取了大量数据
Sophos通过取证分析发现,该组织安装的Citrix Storefront 7.15 CU3在事发时存在一个已知的安全漏洞(CVE-2019-11634)和四个高危漏洞(CVE-2019-13608、CVE-2020-8269、CVE-2020-8270、CVE-2020-8283)。Storefront是一个企业应用商店,员工可以用它来下载被企业批准使用的应用。
团队发现,几乎可以肯定的是,犯罪分子是从这里进入到受害者网络的。
在利用Citrix漏洞进入到公司的网络后,为了维持对攻击中使用的初始管理账户的远程访问权限,攻击者还使用了远程桌面协议(RDP)对跳板机进行登录。
为了能够横向移动,攻击者使用了Mimikatz,它允许攻击者枚举和查看系统上存储的凭证。掌握了这些信息,他们就可以入侵一个域管理员账户。
Windows中的域管理员账户是一个可以编辑活动目录信息的账户。它可以修改活动目录服务器的配置,可以修改活动目录中存储的任何内容。包括创建新用户、删除用户和改变用户的权限。因此,域管理员对于网络有很大的控制权限。
Heller在周二的分析中解释说:"安全响应调查组随后发现犯罪分子使用PowerShell命令以及使用RDP和Cobalt Strike横向移动到多个主机,然后对内网进行信息侦察和枚举攻击。攻击者还安装了文件传输和同步应用程序MEGA,以便后续进行数据传输;并且Nefilim勒索软件二进制文件是通过使用被入侵的域管理员账户的Windows管理工具(WMI)来部署的。"
Heller说,Nefilim攻击者启动勒索软件进行攻击之前,在受害者的网络内部总共呆了大约一个月,为了避免被发现,他们经常在半夜进行活动。
他在周二的一篇文章中指出:"攻击者在获取了该管理账户的访问权限后,然后用了一个月的时间在企业内网悄悄移动,窃取域管理账户的凭证,然后找到了他们想要的数据文件,总共窃取了数百GB的数据,最后又使用勒索软件对企业进行攻击"。
幽灵账户:失败的网络安全管理
此次攻击的问题在于,网络犯罪分子是通过使用一个已经不在公司的员工的账户来获取的公司的数据秘钥。事实上,这个账户的所有者已经不在人世间了。研究人员表示,这类 "幽灵 "账户给企业带来了很高的安全风险,由于系统没有监视这类账号的活动,这类账户在管理方面缺乏必要的安全措施。
Sophos安全响应经理Peter Mackenzie告诉客户,另一种更隐蔽的攻击者可能已经潜伏了几个月,窃取了公司系统中所有的敏感信息。
"如果他们没有部署勒索软件,在客户不知情的情况下,攻击者所拥有的域管理员权限在网络中可以使用多长时间呢?"
因此,如果在创建或使用域管理账户时能够发出警报,就有可能防止攻击。在之前的一个案例中,Sophos的研究人员看到一个攻击者获得了组织网络的访问权限,创建了一个新的用户,并将该账户添加到了活动目录的域管理组中。但是,这个过程没有触发任何警报。
Mackenzie说:"那个新的域管理账户持续删除了大约150个虚拟服务器,并使用微软BitLocker加密服务器进行备份。"
防止攻击最好的方法是将这类账户完全停止使用,但该组织表示,"因为有的服务需要这类账户",所以它一直没有被禁用。
Heller指出:"如果一个组织在某人离开公司后真的需要一个账户,他们应该使用服务账户,并设置为拒绝交互式登录,防止用户出现任何违规的活动,或者,如果他们不需要这个账户去做其他事情,就禁用它,并对活动目录定期进行审计。如果有账户被添加到域管理员组中,活动目录审计策略就可以设置为监控管理员账户活动。"
Mackenzie说,一般来说,需要指定为域管理员的账户比普通的域成员账户要少得多。
他说:"人们认为,如果一个人是高管或负责网络的工作人员,那么他们就需要使用域管理员账户。这并不合理,而且很危险,任何具有特权的帐户都不应该被默认用于不需要该级别权限的工作人员中。用户应该将权限在需要时提升到所需权限 "。
避免此类攻击的最合理的方法是:只授予特定任务或角色所需的访问权限;禁用不再需要使用的账户;使用服务账户并拒绝任何 "幽灵 "账户的交互式登录;对Active Directory进行定期审计,监控管理员账户活动并查看是否有新的账户添加到域管理员组。
本文翻译自:https://threatpost.com/nefilim-ransomware-ghost-account/163341/如若转载,请注明原文地址。
