安全研究人員發(fā)現(xiàn)，在部署有效載荷之前，一家受到LockBit勒索軟件攻擊的美國地區(qū)政府機(jī)構(gòu)被該勒索軟件團(tuán)伙潛藏在其網(wǎng)絡(luò)中至少5個(gè)月。從受感染機(jī)器中檢索到的日志顯示，有兩個(gè)威脅組織已經(jīng)對它們進(jìn)行了入侵，并進(jìn)行了偵察和遠(yuǎn)程訪問操作。雖然攻擊者試圖通過刪除事件日志來刪除他們的蹤跡，但威脅分析人員仍舊從文件片段里發(fā)現(xiàn)了攻擊者的入侵痕跡。

事件起因是該機(jī)構(gòu)的一名技術(shù)人員在禁用了系統(tǒng)的保護(hù)功能后才導(dǎo)致攻擊者入侵。據(jù)網(wǎng)絡(luò)安全公司Sophos的研究人員稱，攻擊者通過配置錯誤的防火墻上的開放遠(yuǎn)程桌面 (RDP)端口訪問網(wǎng)絡(luò)，然后使用Chrome下載攻擊所需的工具。該工具包包括用于暴力破解、掃描、商業(yè)VPN的實(shí)用程序，以及允許文件管理和命令執(zhí)行的免費(fèi)工具，例如PsExec、FileZilla、Process Explorer和GMER。此外，黑客還使用了遠(yuǎn)程桌面和遠(yuǎn)程管理軟件，例如ScreenConnect，以及后來在攻擊中使用的AnyDesk。

在攻擊的第一階段中，攻擊者行為低調(diào)，只是竊取一些有價(jià)值的帳戶憑據(jù)，以便后續(xù)可以竊取更多的重要資料。之后的某個(gè)時(shí)間，他們竊取了同樣擁有域管理員權(quán)限的本地服務(wù)器管理員的憑據(jù)，因此他們可以在其他系統(tǒng)上創(chuàng)建具有管理員權(quán)限的新帳戶。

到了攻擊的第二階段里，在潛藏五個(gè)月后，一些更老練的攻擊者開始接管，Sophos認(rèn)為應(yīng)該是一個(gè)更高級別的攻擊者在負(fù)責(zé)此次行動了。新階段從安裝Mimikatz和LaZagne等Post Exploitation工具開始，用于從受感染的服務(wù)器中提取憑據(jù)包。同時(shí)，攻擊者通過擦除日志和通過遠(yuǎn)程命令執(zhí)行系統(tǒng)重新啟動來使他們的存在更加明顯，并且還通過使60臺服務(wù)器脫機(jī)并分割網(wǎng)絡(luò)來警告管理員。

而在這期間犯的第二個(gè)錯誤就是禁用了端點(diǎn)安全，至此雙方就展開了公開對抗的措施和對策。Sophos在其發(fā)表的報(bào)告中表示，在攻擊發(fā)生的第一天，這些威脅行為者就采取了重大行動，他們運(yùn)行的Advanced IP Scanner幾乎橫向移動到多個(gè)敏感服務(wù)器。短短的幾分鐘內(nèi)，攻擊者就可以訪問大量敏感人員并購買文件。雖然Sophos加入了響應(yīng)工作并關(guān)閉了為攻擊者提供遠(yuǎn)程訪問的服務(wù)器，但部分網(wǎng)絡(luò)已經(jīng)被LockBit進(jìn)行了加密。不過在一些機(jī)器上，雖然文件已用LockBit的后綴重命名，但并未進(jìn)行加密，因此恢復(fù)它們只是將重命名操作顛倒過來。

研究人員表示，實(shí)施多因素身份驗(yàn)證 (MFA) 保護(hù)會導(dǎo)致不同的結(jié)果，因?yàn)樗鼤柚购诳妥杂梢苿踊蛑辽亠@著阻礙他們在受感染網(wǎng)絡(luò)上的行動。另一個(gè)可能阻擋威脅參與者的關(guān)鍵安全功能是阻止遠(yuǎn)程訪問RDP端口的防火墻規(guī)則。最后，這個(gè)案例強(qiáng)調(diào)了維護(hù)和事件響應(yīng)錯誤的問題，以及即使在緊急情況下也需要遵循安全檢查表。

參考來源：https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months/