安全研究人员发现,在部署有效载荷之前,一家受到LockBit勒索软件攻击的美国地区政府机构被该勒索软件团伙潜藏在其网络中至少5个月。从受感染机器中检索到的日志显示,有两个威胁组织已经对它们进行了入侵,并进行了侦察和远程访问操作。虽然攻击者试图通过删除事件日志来删除他们的踪迹,但威胁分析人员仍旧从文件片段里发现了攻击者的入侵痕迹。
事件起因是该机构的一名技术人员在禁用了系统的保护功能后才导致攻击者入侵。据网络安全公司Sophos的研究人员称,攻击者通过配置错误的防火墙上的开放远程桌面 (RDP)端口访问网络,然后使用Chrome下载攻击所需的工具。该工具包包括用于暴力破解、扫描、商业VPN的实用程序,以及允许文件管理和命令执行的免费工具,例如PsExec、FileZilla、Process Explorer和GMER。此外,黑客还使用了远程桌面和远程管理软件,例如ScreenConnect,以及后来在攻击中使用的AnyDesk。
在攻击的第一阶段中,攻击者行为低调,只是窃取一些有价值的帐户凭据,以便后续可以窃取更多的重要资料。之后的某个时间,他们窃取了同样拥有域管理员权限的本地服务器管理员的凭据,因此他们可以在其他系统上创建具有管理员权限的新帐户。
到了攻击的第二阶段里,在潜藏五个月后,一些更老练的攻击者开始接管,Sophos认为应该是一个更高级别的攻击者在负责此次行动了。新阶段从安装Mimikatz和LaZagne等Post Exploitation工具开始,用于从受感染的服务器中提取凭据包。同时,攻击者通过擦除日志和通过远程命令执行系统重新启动来使他们的存在更加明显,并且还通过使60台服务器脱机并分割网络来警告管理员。
而在这期间犯的第二个错误就是禁用了端点安全,至此双方就展开了公开对抗的措施和对策。Sophos在其发表的报告中表示,在攻击发生的第一天,这些威胁行为者就采取了重大行动,他们运行的Advanced IP Scanner几乎横向移动到多个敏感服务器。短短的几分钟内,攻击者就可以访问大量敏感人员并购买文件。虽然Sophos加入了响应工作并关闭了为攻击者提供远程访问的服务器,但部分网络已经被LockBit进行了加密。不过在一些机器上,虽然文件已用LockBit的后缀重命名,但并未进行加密,因此恢复它们只是将重命名操作颠倒过来。
研究人员表示,实施多因素身份验证 (MFA) 保护会导致不同的结果,因为它会阻止黑客自由移动或至少显着阻碍他们在受感染网络上的行动。另一个可能阻挡威胁参与者的关键安全功能是阻止远程访问RDP端口的防火墙规则。最后,这个案例强调了维护和事件响应错误的问题,以及即使在紧急情况下也需要遵循安全检查表。
参考来源
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months/