Nefilim勒索软件团伙利用幽灵账户进行攻击

研究人员表示，Nefilim勒索软件攻击是由一个不受系统监控的账户被攻破造成的。该活动攻击了100多个系统。调查发现，该账号属于该公司一名员工，但该员工已于三个月前去世。Nefilim（又名Nemty）是2020年出现的一种勒索软件，攻击者使用一种称为双重勒索的策略。换句话说，如果受害者不支付赎金，Nefilim威胁要向公众发布数据；它有自己的泄密站点，称为建立在TOR节点上的CorporateLeaks。最重要的是，它还在去年初袭击了澳大利亚运输巨头托尔集团。根据Sophos研究员MichaelHeller的说法，在最近的一次攻击中，在攻击者利用Citrix软件中的漏洞破坏系统后，该组织获得了管理员帐户的访问权限。然后使用Mimikatz窃取域管理员帐户的凭据。Nefilim潜伏一个月窃取大量数据Sophos通过取证分析发现该组织安装的CitrixStorefront7.15CU3存在1个已知安全漏洞（CVE-2019-11634）和4个高危漏洞（CVE-2019-13608、CVE-2020-8269、CVE-2020-8270、CVE-2020-8283）。Storefront是一个企业应用程序商店，员工可以使用它来下载企业批准的应用程序。该团队发现，这几乎可以肯定是犯罪分子进入受害者网络的地方。在利用Citrix漏洞获得公司网络访问权限后，为了保持远程访问攻击中使用的初始管理账户，攻击者还使用远程桌面协议（RDP）登录跳板机。为了能够横向移动，攻击者使用了Mimikatz，它允许攻击者枚举和查看存储在系统上的凭据。有了这些信息，他们就可以破坏域管理员帐户。Windows中的域管理员帐户是可以编辑ActiveDirectory信息的帐户。它可以修改ActiveDirectory服务器的配置，并可以修改存储在ActiveDirectory中的任何内容。包括创建新用户、删除用户和更改用户权限。因此，域管理员对网络有很大的控制权。“安全响应随后发现，犯罪分子使用PowerShell命令并使用RDP和CobaltStrike横向移动到多个主机，然后对内部网络进行信息侦察和枚举攻击，”海勒在周二的分析中解释道。攻击者还为后续的数据传输安装了文件传输和同步应用程序MEGA；Nefilim勒索软件二进制文件是使用受感染的域管理员帐户通过WindowsManagementInstrumentation(WMI)部署的。”“一旦攻击者获得了管理员帐户的访问权限，他们便花了一个月的时间在公司内部网上悄悄移动，窃取域管理员帐户的凭据，然后找到他们想要的域，”他在周二的帖子中说.总共被窃取了数百GB的数据，最后使用勒索软件攻击了企业。幽灵账户：失败的网络安全管理这种攻击的问题在于，网络犯罪分子使用不再在公司工作的员工的账户获取了公司的数据密钥。事实上，这个账号的主人已经不在人世了。研究人员表示，此类“幽灵”账户给企业带来了很高的安全风险，因为系统不监控他们的活动，因此他们缺乏管理这些账户的必要安全措施。Sophos安全响应经理PeterMackenzie告诉客户，另一个更隐秘的攻击者可能已经潜伏数月，从公司系统窃取所有敏感信息。“如果他们没有部署勒索软件，攻击者可以在客户不知情的情况下在网络中拥有多长时间的域管理员权限？”因此，如果在创建或使用域管理员帐户时可以发出警报，则可以防止攻击。在之前的案例中，Sophos研究人员看到攻击者获得了对组织网络的访问权限，创建了一个新用户，并将该帐户添加到ActiveDirectory中的DomainAdmins组。但是，此过程没有触发任何警报。“这个新的域管理员帐户不断删除大约150个虚拟服务器，并使用MicrosoftBitLocker加密的服务器对其进行备份，”Mackenzie说。“防止攻击的最佳方法是完全停用此类帐户，但该组织表示，”因为某些服务需要此类帐户“，它并没有被禁用。海勒指出：“如果一个组织在有人离开公司后确实需要一个账户，他们应该使用一个服务账户并将其设置为拒绝交互式登录，防止用户进行任何非法活动，或者，如果他们不需要这个账户转到做其他事情，禁用它，并定期审核ActiveDirectory。如果将帐户添加到DomainAdmins组，则可以设置ActiveDirectory审核策略以监视管理员帐户活动。麦肯齐说，一般来说，需要指定为域管理员的帐户远少于普通的域成员帐户。“人们认为，如果一个人是主管或负责网络的人，那么他们就需要使用域管理员帐户，”他说。在不需要那种特权级别的工人中。用户应在需要时将权限提升至所需权限”。避免此类攻击的最合乎逻辑的方法是：仅授予特定任务或角色所需的访问权限；禁用不再需要的帐户；使用服务帐户并拒绝交互式登录任何“幽灵”账户；定期审核以监控管理员账户活动，并查看是否有新账户被添加到域管理员组。本文翻译自：https://threatpost.com/nefilim-ransomware-ghost-account/163341/转载请注明原文地址。