日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

安全研究人員發(fā)現(xiàn)，在部署有效載荷之前，一家受到LockBit勒索軟件攻擊的美國地區(qū)政府機構(gòu)被該勒索軟件團伙潛藏在其網(wǎng)絡中至少5個月。從受感染機器中檢索到的日志顯示，有兩個威脅組織已經(jīng)對它們進行了入侵，并進行了偵察和遠程訪問操作。雖然攻擊者試圖通過刪除事件日志來刪除他們的蹤跡，但威脅分析人員仍舊從文件片段里發(fā)現(xiàn)了攻擊者的入侵痕跡。

目前成都創(chuàng)新互聯(lián)已為近1000家的企業(yè)提供了網(wǎng)站建設、域名、虛擬空間、網(wǎng)站托管運營、企業(yè)網(wǎng)站設計、湖濱網(wǎng)站維護等服務，公司將堅持客戶導向、應用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

事件起因是該機構(gòu)的一名技術人員在禁用了系統(tǒng)的保護功能后才導致攻擊者入侵。據(jù)網(wǎng)絡安全公司Sophos的研究人員稱，攻擊者通過配置錯誤的防火墻上的開放遠程桌面 (RDP)端口訪問網(wǎng)絡，然后使用Chrome下載攻擊所需的工具。該工具包包括用于暴力破解、掃描、商業(yè)VPN的實用程序，以及允許文件管理和命令執(zhí)行的免費工具，例如PsExec、FileZilla、Process Explorer和GMER。此外，黑客還使用了遠程桌面和遠程管理軟件，例如ScreenConnect，以及后來在攻擊中使用的AnyDesk。

在攻擊的第一階段中，攻擊者行為低調(diào)，只是竊取一些有價值的帳戶憑據(jù)，以便后續(xù)可以竊取更多的重要資料。之后的某個時間，他們竊取了同樣擁有域管理員權(quán)限的本地服務器管理員的憑據(jù)，因此他們可以在其他系統(tǒng)上創(chuàng)建具有管理員權(quán)限的新帳戶。

到了攻擊的第二階段里，在潛藏五個月后，一些更老練的攻擊者開始接管，Sophos認為應該是一個更高級別的攻擊者在負責此次行動了。新階段從安裝Mimikatz和LaZagne等Post Exploitation工具開始，用于從受感染的服務器中提取憑據(jù)包。同時，攻擊者通過擦除日志和通過遠程命令執(zhí)行系統(tǒng)重新啟動來使他們的存在更加明顯，并且還通過使60臺服務器脫機并分割網(wǎng)絡來警告管理員。

而在這期間犯的第二個錯誤就是禁用了端點安全，至此雙方就展開了公開對抗的措施和對策。Sophos在其發(fā)表的報告中表示，在攻擊發(fā)生的第一天，這些威脅行為者就采取了重大行動，他們運行的Advanced IP Scanner幾乎橫向移動到多個敏感服務器。短短的幾分鐘內(nèi)，攻擊者就可以訪問大量敏感人員并購買文件。雖然Sophos加入了響應工作并關閉了為攻擊者提供遠程訪問的服務器，但部分網(wǎng)絡已經(jīng)被LockBit進行了加密。不過在一些機器上，雖然文件已用LockBit的后綴重命名，但并未進行加密，因此恢復它們只是將重命名操作顛倒過來。

研究人員表示，實施多因素身份驗證 (MFA) 保護會導致不同的結(jié)果，因為它會阻止黑客自由移動或至少顯著阻礙他們在受感染網(wǎng)絡上的行動。另一個可能阻擋威脅參與者的關鍵安全功能是阻止遠程訪問RDP端口的防火墻規(guī)則。最后，這個案例強調(diào)了維護和事件響應錯誤的問題，以及即使在緊急情況下也需要遵循安全檢查表。

參考來源：https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months/

網(wǎng)站題目：LockBit勒索軟件團伙潛伏在美政府網(wǎng)絡中數(shù)月
瀏覽路徑：http://m.5511xx.com/article/cdhjipe.html