尽管保持软件更新和仅从受信任的来源下载文件是标准的网络安全实践,但鉴于最近恶意软件攻击的增加,很明显在这方面需要更多的教育。为此,Varonis 取证团队就使用 Hive 勒索软件的攻击者如何在其最新系列攻击中针对 Microsoft Exchange Server 提供了一些指导。对于那些不知道的人,Hive 遵循勒索软件即服务模型。
尽管微软在 2021 年针对已知漏洞对 Exchange 服务器进行了修补,并且大多数组织都进行了更新,但有些组织没有。Hive 现在通过 ProxyShell 漏洞针对这些易受攻击的服务器实例来获取 SYSTEM 权限。然后,PowerShell 脚本启动Cobalt Strike并创建一个名为“user”的新系统管理员帐户。
在此之后,Mimikatz 被用来窃取域管理员的 NTLM 哈希并获得对该帐户的控制权。成功入侵后,Hive 执行一些发现,其中部署网络扫描程序以存储 IP 地址,扫描文件名中包含“密码”的文件,并尝试将 RDP 导入备份服务器以访问敏感资产。
最后,自定义恶意软件负载通过“ windows.exe ”文件部署和执行,该文件窃取和加密文件、删除卷影副本、清除事件日志并禁用安全机制。随后,会显示勒索软件说明,要求该组织与托管在可通过 Tor 网络访问的 .onion 地址上的 Hive 的“销售部门”取得联系。还向受感染的组织提供了以下说明:
- 请勿修改、重命名或删除 *.key。文件。您的数据将无法解密。
- 不要修改或重命名加密文件。你会失去他们。
- 不要向警察、联邦调查局等报告。他们不关心您的业务。他们根本不允许您付款。结果你会失去一切。
- 不要聘请恢复公司。他们无法在没有密钥的情况下解密。他们也不关心您的业务。他们相信自己是优秀的谈判者,但事实并非如此。他们通常会失败。所以为自己说话。
- 不要拒绝(原文如此)购买。泄露的文件将被公开披露。
最后一点当然很有趣,因为如果没有向 Hive 付款,他们的信息将发布在“HiveLeaks”Tor 网站上。在同一网站上显示倒计时,以迫使受害者付款。
安全团队指出,在一个实例中,攻击者设法在初始入侵后的 72 小时内加密环境。因此,它建议组织立即修补 Exchange 服务器,定期轮换复杂密码,阻止 SMBv1,尽可能限制访问,并在网络安全领域培训员工。