编译:奇安信代码卫士团队
微软发布报告,详述了复杂的黑客组织如何能在不到一周的时间里,通过密码喷洒攻击一路完全控制网络。
微软威胁防护情报团队指出,“每天,我们都会发现攻击者通过云以及其它攻击向量对目标组织机构发起攻击,它们的目的是找到阻力最小的攻击路径,快速扩展立足点并控制易受攻击的信息和资产。”该团队详述了它们一直在监控并防御的特别复杂的攻击类型。
具体而言,该微软团队发现 Holmium 组织是在有组织的犯罪团伙和国家黑客等组织之间使用基于云的攻击向量方面最有效果的组织。该组织又被称为 APT33、StoneDrill 和 Elfin,被指和伊朗存在关联,且多年来一直都在监控航空航天、国防、化学、挖矿和石化公司并发动破坏性攻击。
微软研究员表示,Holmium 组织使用多种方式获得对目标的访问权限如鱼叉式钓鱼邮件攻击,并试图使用广为人知的密码清单入侵账户,即“密码喷洒”攻击。
(密码喷洒和受陷账户登录)
但Holmium 组织最近发动的攻击活动中出现了一款渗透测试工具 Ruler,它和受陷的 Exchange 凭证一起使用。研究人员表示该黑客组织自2018年起就一直在运行基于云的攻击,另外一起类似攻击发生在2019年上半年。这些攻击一般均以对被暴露 Active DirectoryFederation Services 的“密集”密码喷洒攻击开始,微软指出未使用多因素认证机制的组织机构面临更高的账户攻陷风险。
Holmium 组织通过一些 Office 365 账户利用 Ruler 控制个人计算机,而这些个人计算机可遭进一步利用。研究员表示,“该黑客组织控制端点(除了云身份外)后,下一步就是探索受害者网络”,比如从中找到更多的用户账户和个人电脑。
(攻击杀死链典型时间线)
微软表示,从最初通过进行访问到获取“无障碍的访问权限和完整的域名攻陷”,只需不到一周的时间。这种访问权限可导致攻击者在网络停留更长的时间,有时候甚至是数个月的时间。
微软警告称,在这些攻击活动中,很多目标组织机构的反应都太迟钝:例如,当恶意活动通过 PowerShell 命令出现在端点上并随后发起横向移动行为时。研究人员指出,“早期的攻击阶段如云事件和密码喷洒活动通常被遗漏,或者有时候并未和端点上出现的攻击活动相关联,这就导致可见性缺乏并导致修复不完整的问题。企业数据遍布多种内部部署和云应用中,任何人在任何地方使用任何设备均可访问。传统攻击面的扩大和网络边界的消失催生了新型的攻击场景和技术。”
技术详情请参见:
https://www.microsoft.com/security/blog/2020/06/18/inside-microsoft-threat-protection-mapping-attack-chains-from-cloud-to-endpoint/
原文链接:
https://www.zdnet.com/article/microsoft-how-hackers-got-from-a-broken-password-to-full-network-control-in-just-days/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。