活动目录现在Ransomware十字准线

一系列ransomware运营商现在针对Active Directory(广告)作为核心一步攻击路径。理解细节可以帮助你确保你的广告环境是安全的。

在过去的几个月里,许多ransomware运营商集中他们的注意力在Active Directory(广告)作为核心介入他们的攻击路径。LockBit 2.0 2021年7月开始,持续与孔蒂和BlackMatter在2021年9月和10月,运营商越来越理解是多么容易获得无限制的访问受害者的网络——文字去王国的钥匙——通过广告领域的特权。不幸的是,很少有组织充分评估广告安全与治理问题。这个博客将会深入一些最近的ransomware策略利用广告来加快攻击,并提供你应该采取行动来防止这些威胁。

做事投入到广告策略

而安全团队往往忽略这个关键攻击向量,网络安全和基础设施安全机构(CISA),联邦调查局(FBI),和美国国家安全局(NSA)不是。这三个美国相关机构有多个joint-alerts ransomware攻击的威胁上升活动和复杂——每个咨询具体标识广告发挥关键作用传播的攻击。

孔蒂

今年早些时候孔蒂ransomware头条攻击数百个组织,包括许多医疗机构,扰乱关键操作。最近,孔蒂攻击者更关注补丁来获得特权的广告。联合中国钢铁工业协会,联邦调查局和国家安全局警告描述如下:

“根据最近泄露的威胁演员”剧本,”孔蒂演员还在应用补丁的资产利用的漏洞,如以下,升级特权和横向移动受害者的网络:

• 2017年微软Windows服务器消息块1.0服务器漏洞;

• “PrintNightmare”漏洞(cve - 2021 - 34527)在Windows打印后台处理程序服务;和

• “Zerologon”漏洞(cve - 2020 - 1472)在微软广告域控制器系统。”

BlackMatter

BlackMatter是一个新的ransomware运营商模仿各种各样的黑暗面,REvil和LockBit剧本战术。中国钢铁工业协会,美国联邦调查局和美国国家安全局发表联合预警BlackMatter已经针对多个美国关键基础设施的实体,其中包括两名美国食品和农业组织。在这种情况下,BlackMatter利用广告来发现和列举主机和共享文件夹。每联合预警:

“使用嵌入式,以前凭据被破坏,BlackMatter利用轻量级目录访问协议(LDAP)和服务器消息块(SMB)协议来访问活动目录(广告)发现网络上的所有主机。BlackMatter然后加密远程主机和共享驱动器发现。”

LockBit 2.0

虽然没有提到任何最近的中国钢铁工业协会报告,LockBit 2.0多产了活动跨越回到2021年7月。IBM操作安全情报博客分析了LockBit运营商使用的新策略,包括威胁演员如何利用广告使用组策略部署ransomware载荷:

“一个最重要的变化确定在分析是实现新技术的部署。有效载荷能够自动部署本身Microsoft Active Directory客户通过组策略对象(GPO)。当上执行一个活动目录域控制器,LockBit 2.0创建几个gpo的感染过程。视窗防护配置改变,以避免检测。它刷新网络股票,停止某些服务和杀死进程。然后复制到客户端桌面LockBit可执行目录并执行。PowerShell是用于新的gpo适用于所有domain-joined主机在一个组织单元(OU)指定。”

扰乱ransomware攻击路径在多个点

现在,我们理解了对广告所使用的策略,这是很重要的一个方面,安全卫士将注意力集中在多个步骤的攻击路径。

初始入口点注意事项

攻击者必须进入一个组织最初,之前他们可以考虑横向移动的目标。正如我们所看到的与多个ransomware运营商,包括琉克和REvil入口点,不需要网络钓鱼攻击的结果。相反,越来越多的高调攻击是利用已知问题的设备,操作系统和软件,不需要任何用户交互。有两个主要的战术,攻击者可以利用违反设备、操作系统和软件:利用漏洞或错误配置。

知道即使是很小的组织有许多漏洞和错误配置,需要担保,后卫必须计算努力看到所有潜在的风险在他们的攻击表面并立即解决最重要的安全问题。这就是优先级是至关重要的,因为它是不可能保证每一个漏洞和错误配置。

入口点开发

一旦攻击者立足入口点,有一些战术,他们参与获得凭证,横向移动,收集网络信息。主要的策略是获得地方行政特权破坏设备。本地权限允许攻击者安装恶意软件,也我的本地缓存的凭据。

安装在设备上的恶意软件,通常用于列举网络和广告。这种级别的枚举只需要读访问网络和广告,这就是为什么它是至关重要的,以确保网络设备和软件,以及广告,枚举发生之前。

获取缓存凭证可以给攻击者直接域特权,取决于特权用户的域登录到设备。如果是这样的话,攻击者只需要扮演这个帐户创建后门,复制所需的数据,并将ransomware部署到整个网络。这就是为什么它是如此重要,以确保分层模型来否定管理员登录到工作站,将缓存的凭据容易攻击者的访问。

如果攻击者不能获得特权凭证,攻击者将使用凭证来试图横向移动到其他设备,每个设备上使用相同的开发策略他们妥协。帮助阻止攻击者横向移动,技术圈从微软和坚实的密码策略需要实现。

如果攻击者并没有实现域特权,但列举广告,他们仍然有机会攻击域账户,希望牺牲一个帐户的域的特权。

今天采取行动

广告应该获得和保持24/7。一些常见的攻击用户和计算机配置可以用一个简单的检测Active Directory起动器扫描Nessus站得住脚的。io或Tenable.sc。这个扫描给你你的广告安全的高级视图,将显示任何潜在的错误配置。

而广告起动器扫描是一个伟大的开始,你还应该解决其他常见安全问题尽快广告,如:

• 获得特权用户和相关的属性
• 验证特权团体和成员
• 审查和确保ADirectory和SYSVOL权限
• 检查所有信任关系是正确的
• 修补任何已知的漏洞

了解更多:

• 运行Active Directory起动器扫描如果你是一个站得住脚的客户检测通常利用广告的弱点来帮助保护凭证和防止特权升级。
• 阅读更多关于如何获得我们的广告剖析现代Ransomware攻击电子书,如何保护Active Directory Ransomware攻击,五种方式加强Active Directory安全和防止Ransomware攻击。
• 最后,如果你准备进行更全面的广告安全计划,开云app比分怎么看 如何解决方案可以帮助自己的广告环境。