研究人員表示， 此次Nefilim勒索軟件攻擊是由一個不受系統(tǒng)監(jiān)控的賬戶泄露導(dǎo)致的，此次活動攻擊了100多個系統(tǒng)，調(diào)查發(fā)現(xiàn)，該賬戶屬于公司一名員工，但是該員工已于三個月前去世了。

Nefilim(又名Nemty)是2020年出現(xiàn)的一種勒索軟件，攻擊者采取了一種被稱為雙重勒索的策略。換句話說，Nefilim威脅說，如果受害者不支付贖金，就會向公眾公布數(shù)據(jù);它有自己建立在TOR節(jié)點上泄密網(wǎng)站，名為Corporate Leaks。最重要的是，它在去年年初還攻擊了澳大利亞運(yùn)輸巨頭Toll集團(tuán)。

根據(jù)Sophos研究員Michael Heller的說法，在最近的一次攻擊中，攻擊者通過利用Citrix軟件的漏洞對系統(tǒng)進(jìn)行入侵，之后該團(tuán)伙獲得了一個管理員賬戶的訪問權(quán)限。然后利用Mimikatz竊取了一個域管理賬戶的憑證。

Nefilim潛伏了一個月，竊取了大量數(shù)據(jù)

Sophos通過取證分析發(fā)現(xiàn)，該組織安裝的Citrix Storefront 7.15 CU3在事發(fā)時存在一個已知的安全漏洞(CVE-2019-11634)和四個高危漏洞(CVE-2019-13608、CVE-2020-8269、CVE-2020-8270、CVE-2020-8283)。Storefront是一個企業(yè)應(yīng)用商店，員工可以用它來下載被企業(yè)批準(zhǔn)使用的應(yīng)用。

團(tuán)隊發(fā)現(xiàn)，幾乎可以肯定的是，犯罪分子是從這里進(jìn)入到受害者網(wǎng)絡(luò)的。

在利用Citrix漏洞進(jìn)入到公司的網(wǎng)絡(luò)后，為了維持對攻擊中使用的初始管理賬戶的遠(yuǎn)程訪問權(quán)限，攻擊者還使用了遠(yuǎn)程桌面協(xié)議(RDP)對跳板機(jī)進(jìn)行登錄。

為了能夠橫向移動，攻擊者使用了Mimikatz，它允許攻擊者枚舉和查看系統(tǒng)上存儲的憑證。掌握了這些信息，他們就可以入侵一個域管理員賬戶。

Windows中的域管理員賬戶是一個可以編輯活動目錄信息的賬戶。它可以修改活動目錄服務(wù)器的配置，可以修改活動目錄中存儲的任何內(nèi)容。包括創(chuàng)建新用戶、刪除用戶和改變用戶的權(quán)限。因此，域管理員對于網(wǎng)絡(luò)有很大的控制權(quán)限。

Heller在周二的分析中解釋說："安全響應(yīng)調(diào)查組隨后發(fā)現(xiàn)犯罪分子使用PowerShell命令以及使用RDP和Cobalt Strike橫向移動到多個主機(jī)，然后對內(nèi)網(wǎng)進(jìn)行信息偵察和枚舉攻擊。攻擊者還安裝了文件傳輸和同步應(yīng)用程序MEGA，以便后續(xù)進(jìn)行數(shù)據(jù)傳輸;并且Nefilim勒索軟件二進(jìn)制文件是通過使用被入侵的域管理員賬戶的Windows管理工具(WMI)來部署的。"

Heller說，Nefilim攻擊者啟動勒索軟件進(jìn)行攻擊之前，在受害者的網(wǎng)絡(luò)內(nèi)部總共呆了大約一個月，為了避免被發(fā)現(xiàn)，他們經(jīng)常在半夜進(jìn)行活動。

他在周二的一篇文章中指出："攻擊者在獲取了該管理賬戶的訪問權(quán)限后，然后用了一個月的時間在企業(yè)內(nèi)網(wǎng)悄悄移動，竊取域管理賬戶的憑證，然后找到了他們想要的數(shù)據(jù)文件，總共竊取了數(shù)百GB的數(shù)據(jù)，最后又使用勒索軟件對企業(yè)進(jìn)行攻擊"。

幽靈賬戶：失敗的網(wǎng)絡(luò)安全管理

此次攻擊的問題在于，網(wǎng)絡(luò)犯罪分子是通過使用一個已經(jīng)不在公司的員工的賬戶來獲取的公司的數(shù)據(jù)秘鑰。事實上，這個賬戶的所有者已經(jīng)不在人世間了。研究人員表示，這類 "幽靈 "賬戶給企業(yè)帶來了很高的安全風(fēng)險，由于系統(tǒng)沒有監(jiān)視這類賬號的活動，這類賬戶在管理方面缺乏必要的安全措施。

Sophos安全響應(yīng)經(jīng)理Peter Mackenzie告訴客戶，另一種更隱蔽的攻擊者可能已經(jīng)潛伏了幾個月，竊取了公司系統(tǒng)中所有的敏感信息。

"如果他們沒有部署勒索軟件，在客戶不知情的情況下，攻擊者所擁有的域管理員權(quán)限在網(wǎng)絡(luò)中可以使用多長時間呢?"

因此，如果在創(chuàng)建或使用域管理賬戶時能夠發(fā)出警報，就有可能防止攻擊。在之前的一個案例中，Sophos的研究人員看到一個攻擊者獲得了組織網(wǎng)絡(luò)的訪問權(quán)限，創(chuàng)建了一個新的用戶，并將該賬戶添加到了活動目錄的域管理組中。但是，這個過程沒有觸發(fā)任何警報。

Mackenzie說："那個新的域管理賬戶持續(xù)刪除了大約150個虛擬服務(wù)器，并使用微軟BitLocker加密服務(wù)器進(jìn)行備份。"

防止攻擊最好的方法是將這類賬戶完全停止使用，但該組織表示，"因為有的服務(wù)需要這類賬戶"，所以它一直沒有被禁用。

Heller指出："如果一個組織在某人離開公司后真的需要一個賬戶，他們應(yīng)該使用服務(wù)賬戶，并設(shè)置為拒絕交互式登錄，防止用戶出現(xiàn)任何違規(guī)的活動，或者，如果他們不需要這個賬戶去做其他事情，就禁用它，并對活動目錄定期進(jìn)行審計。如果有賬戶被添加到域管理員組中，活動目錄審計策略就可以設(shè)置為監(jiān)控管理員賬戶活動。"

Mackenzie說，一般來說，需要指定為域管理員的賬戶比普通的域成員賬戶要少得多。

他說："人們認(rèn)為，如果一個人是高管或負(fù)責(zé)網(wǎng)絡(luò)的工作人員，那么他們就需要使用域管理員賬戶。這并不合理，而且很危險，任何具有特權(quán)的帳戶都不應(yīng)該被默認(rèn)用于不需要該級別權(quán)限的工作人員中。用戶應(yīng)該將權(quán)限在需要時提升到所需權(quán)限 "。

避免此類攻擊的最合理的方法是：只授予特定任務(wù)或角色所需的訪問權(quán)限;禁用不再需要使用的賬戶;使用服務(wù)賬戶并拒絕任何 "幽靈 "賬戶的交互式登錄;對Active Directory進(jìn)行定期審計，監(jiān)控管理員賬戶活動并查看是否有新的賬戶添加到域管理員組。

本文翻譯自：https://threatpost.com/nefilim-ransomware-ghost-account/163341/如若轉(zhuǎn)載，請注明原文地址。