研究人員表示， 此次Nefilim勒索軟件攻擊是由一個(gè)不受系統(tǒng)監(jiān)控的賬戶泄露導(dǎo)致的，此次活動(dòng)攻擊了100多個(gè)系統(tǒng)，調(diào)查發(fā)現(xiàn)，該賬戶屬于公司一名員工，但是該員工已于三個(gè)月前去世了。

Nefilim(又名Nemty)是2020年出現(xiàn)的一種勒索軟件，攻擊者采取了一種被稱為雙重勒索的策略。換句話說，Nefilim威脅說，如果受害者不支付贖金，就會(huì)向公眾公布數(shù)據(jù);它有自己建立在TOR節(jié)點(diǎn)上泄密網(wǎng)站，名為Corporate Leaks。最重要的是，它在去年年初還攻擊了澳大利亞運(yùn)輸巨頭Toll集團(tuán)。

根據(jù)Sophos研究員Michael Heller的說法，在最近的一次攻擊中，攻擊者通過利用Citrix軟件的漏洞對(duì)系統(tǒng)進(jìn)行入侵，之后該團(tuán)伙獲得了一個(gè)管理員賬戶的訪問權(quán)限。然后利用Mimikatz竊取了一個(gè)域管理賬戶的憑證。

Nefilim潛伏了一個(gè)月，竊取了大量數(shù)據(jù)

Sophos通過取證分析發(fā)現(xiàn)，該組織安裝的Citrix Storefront 7.15 CU3在事發(fā)時(shí)存在一個(gè)已知的安全漏洞(CVE-2019-11634)和四個(gè)高危漏洞(CVE-2019-13608、CVE-2020-8269、CVE-2020-8270、CVE-2020-8283)。Storefront是一個(gè)企業(yè)應(yīng)用商店，員工可以用它來下載被企業(yè)批準(zhǔn)使用的應(yīng)用。

團(tuán)隊(duì)發(fā)現(xiàn)，幾乎可以肯定的是，犯罪分子是從這里進(jìn)入到受害者網(wǎng)絡(luò)的。

在利用Citrix漏洞進(jìn)入到公司的網(wǎng)絡(luò)后，為了維持對(duì)攻擊中使用的初始管理賬戶的遠(yuǎn)程訪問權(quán)限，攻擊者還使用了遠(yuǎn)程桌面協(xié)議(RDP)對(duì)跳板機(jī)進(jìn)行登錄。

為了能夠橫向移動(dòng)，攻擊者使用了Mimikatz，它允許攻擊者枚舉和查看系統(tǒng)上存儲(chǔ)的憑證。掌握了這些信息，他們就可以入侵一個(gè)域管理員賬戶。

Windows中的域管理員賬戶是一個(gè)可以編輯活動(dòng)目錄信息的賬戶。它可以修改活動(dòng)目錄服務(wù)器的配置，可以修改活動(dòng)目錄中存儲(chǔ)的任何內(nèi)容。包括創(chuàng)建新用戶、刪除用戶和改變用戶的權(quán)限。因此，域管理員對(duì)于網(wǎng)絡(luò)有很大的控制權(quán)限。

Heller在周二的分析中解釋說："安全響應(yīng)調(diào)查組隨后發(fā)現(xiàn)犯罪分子使用PowerShell命令以及使用RDP和Cobalt Strike橫向移動(dòng)到多個(gè)主機(jī)，然后對(duì)內(nèi)網(wǎng)進(jìn)行信息偵察和枚舉攻擊。攻擊者還安裝了文件傳輸和同步應(yīng)用程序MEGA，以便后續(xù)進(jìn)行數(shù)據(jù)傳輸;并且Nefilim勒索軟件二進(jìn)制文件是通過使用被入侵的域管理員賬戶的Windows管理工具(WMI)來部署的。"

Heller說，Nefilim攻擊者啟動(dòng)勒索軟件進(jìn)行攻擊之前，在受害者的網(wǎng)絡(luò)內(nèi)部總共呆了大約一個(gè)月，為了避免被發(fā)現(xiàn)，他們經(jīng)常在半夜進(jìn)行活動(dòng)。

他在周二的一篇文章中指出："攻擊者在獲取了該管理賬戶的訪問權(quán)限后，然后用了一個(gè)月的時(shí)間在企業(yè)內(nèi)網(wǎng)悄悄移動(dòng)，竊取域管理賬戶的憑證，然后找到了他們想要的數(shù)據(jù)文件，總共竊取了數(shù)百GB的數(shù)據(jù)，最后又使用勒索軟件對(duì)企業(yè)進(jìn)行攻擊"。

幽靈賬戶：失敗的網(wǎng)絡(luò)安全管理

此次攻擊的問題在于，網(wǎng)絡(luò)犯罪分子是通過使用一個(gè)已經(jīng)不在公司的員工的賬戶來獲取的公司的數(shù)據(jù)秘鑰。事實(shí)上，這個(gè)賬戶的所有者已經(jīng)不在人世間了。研究人員表示，這類 "幽靈 "賬戶給企業(yè)帶來了很高的安全風(fēng)險(xiǎn)，由于系統(tǒng)沒有監(jiān)視這類賬號(hào)的活動(dòng)，這類賬戶在管理方面缺乏必要的安全措施。

Sophos安全響應(yīng)經(jīng)理Peter Mackenzie告訴客戶，另一種更隱蔽的攻擊者可能已經(jīng)潛伏了幾個(gè)月，竊取了公司系統(tǒng)中所有的敏感信息。

"如果他們沒有部署勒索軟件，在客戶不知情的情況下，攻擊者所擁有的域管理員權(quán)限在網(wǎng)絡(luò)中可以使用多長(zhǎng)時(shí)間呢?"

因此，如果在創(chuàng)建或使用域管理賬戶時(shí)能夠發(fā)出警報(bào)，就有可能防止攻擊。在之前的一個(gè)案例中，Sophos的研究人員看到一個(gè)攻擊者獲得了組織網(wǎng)絡(luò)的訪問權(quán)限，創(chuàng)建了一個(gè)新的用戶，并將該賬戶添加到了活動(dòng)目錄的域管理組中。但是，這個(gè)過程沒有觸發(fā)任何警報(bào)。

Mackenzie說："那個(gè)新的域管理賬戶持續(xù)刪除了大約150個(gè)虛擬服務(wù)器，并使用微軟BitLocker加密服務(wù)器進(jìn)行備份。"

防止攻擊最好的方法是將這類賬戶完全停止使用，但該組織表示，"因?yàn)橛械姆?wù)需要這類賬戶"，所以它一直沒有被禁用。

Heller指出："如果一個(gè)組織在某人離開公司后真的需要一個(gè)賬戶，他們應(yīng)該使用服務(wù)賬戶，并設(shè)置為拒絕交互式登錄，防止用戶出現(xiàn)任何違規(guī)的活動(dòng)，或者，如果他們不需要這個(gè)賬戶去做其他事情，就禁用它，并對(duì)活動(dòng)目錄定期進(jìn)行審計(jì)。如果有賬戶被添加到域管理員組中，活動(dòng)目錄審計(jì)策略就可以設(shè)置為監(jiān)控管理員賬戶活動(dòng)。"

Mackenzie說，一般來說，需要指定為域管理員的賬戶比普通的域成員賬戶要少得多。

他說："人們認(rèn)為，如果一個(gè)人是高管或負(fù)責(zé)網(wǎng)絡(luò)的工作人員，那么他們就需要使用域管理員賬戶。這并不合理，而且很危險(xiǎn)，任何具有特權(quán)的帳戶都不應(yīng)該被默認(rèn)用于不需要該級(jí)別權(quán)限的工作人員中。用戶應(yīng)該將權(quán)限在需要時(shí)提升到所需權(quán)限 "。

避免此類攻擊的最合理的方法是：只授予特定任務(wù)或角色所需的訪問權(quán)限;禁用不再需要使用的賬戶;使用服務(wù)賬戶并拒絕任何 "幽靈 "賬戶的交互式登錄;對(duì)Active Directory進(jìn)行定期審計(jì)，監(jiān)控管理員賬戶活動(dòng)并查看是否有新的賬戶添加到域管理員組。

本文翻譯自：https://threatpost.com/nefilim-ransomware-ghost-account/163341/如若轉(zhuǎn)載，請(qǐng)注明原文地址。