勒索软件团伙使用幽灵账户进行攻击

析发现，该组织安装的Citrix Storefront 7.15 CU3在事发时存在一个已知的安全漏洞(CVE-2019-11634)和四个高危漏洞(CVE-2019-13608、CVE-2020-8269、CVE-2020-8270、CVE-2020-8283)。Storefront是一个企业应用商店，员工可以用它来下载被企业批准使用的应用。

团队发现，几乎可以肯定的是，犯罪分子是从这里进入到受害者网络的。

在利用Citrix漏洞进入到公司的网络后，为了维持对攻击中使用的初始管理账户的远程访问权限，攻击者还使用了远程桌面协议(RDP)对跳板机进行登录。

为了能够横向移动，攻击者使用了Mimikatz，它允许攻击者枚举和查看系统上存储的凭证。掌握了这些信息，他们就可以入侵一个域管理员账户。

Windows中的域管理员账户是一个可以编辑活动目录信息的账户。它可以修改活动目录服务器的配置，可以修改活动目录中存储的任何内容。包括创建新用户、删除用户和改变用户的权限。因此，域管理员对于网络有很大的控制权限。

Heller在周二的分析中解释说："安全响应调查组随后发现犯罪分子使用PowerShell命令以及使用RDP和Cobalt Strike横向移动到多个主机，然后对内网进行信息侦察和枚举攻击。攻击者还安装了文件传输和同步应用程序MEGA，以便后续进行数据传输;并且Nefilim勒索软件二进制文件是通过使用被入侵的域管理员账户的Windows管理工具(WMI)来部署的。"

Heller说，Nefilim攻击者启动勒索软件进行攻击之前，在受害者的网络内部总共呆了大约一个月，为了避免被发现，他们经常在半夜进行活动。

他在周二的一篇文章中指出："攻击者在获取了该管理账户的访问权限后，然后用了一个月的时间在企业内网悄悄移动，窃取域管理账户的凭证，然后找到了他们想要的数据文件，总共窃取了数百GB的数据，最后又使用勒索软件对企业进行攻击"。

幽灵账户：失败的网络安全管理

此次攻击的问题在于，网络犯罪分子是通过使用一个已经不在公司的员工的账户来获取的公司的数据秘钥。事实上，这个账户的所有者已经不在人世间了。研究人员表示，这类 "幽灵 "账户给企业带来了很高的安全风险，由于系统没有监视这类账号的活动，这类账户在管理方面缺乏必要的安全措施。

Sophos安全响应经理Peter Mackenzie告诉客户，另一种更隐蔽的攻击者可能已经潜伏了几个月，窃取了公司系统中所有的敏感信息。

"如果他们没有部署勒索软件，在客户不知情的情况下，攻击者所拥有的域管理员权限在网络中可以使用多长时间呢?"

因此，如果在创建或使用域管理账户时能够发出警报，就有可能防止攻击。在之前的一个案例中，Sophos的研究人员看到一个攻击者获得了组织网络的访

（编辑：我爱制作网_潮州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!