2021年已經(jīng)結(jié)束，回顧2021安全事件，我們發(fā)現(xiàn)，針對(duì)Active Directory的攻擊事件有明顯的增長(zhǎng)趨勢(shì)。這其中，有的勒索軟件組織已經(jīng)停止運(yùn)營(yíng)，有些仍活躍在全球各地。過往發(fā)生的事件，無一例外都造成了嚴(yán)重的后果，這也在警示我們，安全無小事，內(nèi)網(wǎng)防護(hù)要未雨綢繆。
本篇文章，中安網(wǎng)星整理了2021年與AD域相關(guān)的安全事件，按照關(guān)聯(lián)性分為四個(gè)板塊。下面讓我們一起回顧下這些事件，“以史為鑒”，在新的2022年共同努力，加強(qiáng)企業(yè)安全建設(shè)，減少惡意軟件帶來的威脅。（以下內(nèi)容為節(jié)選，部分信息來源于網(wǎng)絡(luò)）

一、REvil的覆滅

2021年，最臭名昭著的勒索軟件當(dāng)屬REvil。上半年的全球大型安全事件，1月的Dairy Farm，3月的哈里斯聯(lián)盟，5月的JBS都是REvil造成的。而后，在以美國(guó)為首的國(guó)際執(zhí)法機(jī)構(gòu)的毀滅性圍剿下，REvil銷聲匿跡。

1月：Dairy Farm 遭受 REvil 勒索軟件攻擊

大型泛亞零售連鎖運(yùn)營(yíng)商Dairy Farm Group（牛奶公司控股）2021年1月遭到 REvil 勒索軟件攻擊。攻擊者聲稱已索要 3000 萬美元的贖金。為了證明他們可以訪問Dairy Farm網(wǎng)絡(luò)，攻擊者分享了Active Directory用戶和計(jì)算機(jī)MMC的屏幕截圖。

3月：勒索軟件攻擊關(guān)閉了哈里斯聯(lián)盟

哈里斯聯(lián)盟是一家總部位于英國(guó)的教育慈善機(jī)構(gòu)，運(yùn)營(yíng)著 50 所中小學(xué)，遭遇REvil勒索軟件攻擊，導(dǎo)致其電子郵件和電話系統(tǒng)癱瘓。英國(guó)國(guó)家網(wǎng)絡(luò)安全中心警告稱，勒索軟件的攻擊主要針對(duì)遠(yuǎn)程信息系統(tǒng)（RDP）和虛擬專用網(wǎng)絡(luò)（VPN），由于新冠期間遠(yuǎn)程信息設(shè)備的使用增加，內(nèi)網(wǎng)中存在較多錯(cuò)誤的身份配置和弱密碼，因此被攻擊者利用。
5月：JBS肉類生產(chǎn)商向 REvil 勒索軟件集團(tuán)支付1100萬美元

JBS 向 REvil 勒索軟件集團(tuán)支付了 1100 萬美元，用于解密 5 月下旬在網(wǎng)絡(luò)攻擊中受損的文件。JBS 官員說，他們只需要解密器來恢復(fù)幾個(gè)數(shù)據(jù)庫(kù)——其余的數(shù)據(jù)是從備份中恢復(fù)的。在談判進(jìn)行期間，JBS 被迫關(guān)閉了一些食品生產(chǎn)基地。
6月：FujiFilm 網(wǎng)絡(luò)在勒索軟件攻擊中遭到破壞

日本企業(yè)集團(tuán) FujiFilm 在其網(wǎng)絡(luò)感染 Qbot 惡意軟件后，于 6 月初被迫部分關(guān)閉業(yè)務(wù)，該惡意軟件目前正被 REvil 勒索軟件組織使用。Qbot 惡意軟件可以遠(yuǎn)程訪問受感染的網(wǎng)絡(luò)，為整個(gè)環(huán)境中的橫向移動(dòng)和數(shù)據(jù)加密鋪平了道路。

10月：REvil 活動(dòng)受國(guó)際執(zhí)法機(jī)構(gòu)限制，基本關(guān)停10月份，包括美國(guó)執(zhí)法機(jī)構(gòu)在內(nèi)的國(guó)際政府實(shí)體已經(jīng)關(guān)閉了 REvil 的網(wǎng)站和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，REvil 是一個(gè)臭名昭著的勒索軟件組織，又名Sodinokibi，曾入侵并發(fā)布了MacBook 的原理圖，被稱為最具統(tǒng)治力和破壞性的勒索軟件之一。今年的5月30日，REvil對(duì)肉類加工巨頭JBS發(fā)動(dòng)攻擊；7月2日，對(duì)遠(yuǎn)程管理軟件公司Kaseya 再次發(fā)動(dòng)攻擊，而后遭到美國(guó)政府的及國(guó)際執(zhí)法機(jī)構(gòu)的毀滅性打擊，自7月13日起托管至暗網(wǎng)。在后續(xù)的新聞中，暗網(wǎng)及博客也已停止運(yùn)營(yíng)，多名團(tuán)隊(duì)成員已落網(wǎng)。

二、Conti造成多起安全事件

另一大勒索軟件——Conti，在2021年的活躍度也非常高，僅次于REvil，攻擊范圍覆蓋場(chǎng)景眾多，包括醫(yī)療系統(tǒng)、教育系統(tǒng)等，12月的Log4j漏洞也被其利用。Conti至今仍在運(yùn)營(yíng)。

3月：Conti攻擊組織建議受害者審查 AD 政策

在索要 200 萬美元贖金后，攻擊組織 Conti 建議其受害者時(shí)尚零售商 FatFace 審查其 Active Directory 密碼策略。Conti 還建議 FatFace 實(shí)施其他預(yù)防措施，例如實(shí)施電子郵件過濾、進(jìn)行員工網(wǎng)絡(luò)釣魚測(cè)試、投資于更好的端點(diǎn)檢測(cè)和響應(yīng)技術(shù)，以及實(shí)施離線存儲(chǔ)和基于磁帶的備份。該組織通過網(wǎng)絡(luò)釣魚攻擊獲得了 FatFace 網(wǎng)絡(luò)的訪問權(quán)限，獲得了一般管理權(quán)限，并從備份服務(wù)器和存儲(chǔ)設(shè)備中提取了數(shù)據(jù)。

4月：Conti集團(tuán)襲擊佛羅里達(dá)州布勞沃德縣的學(xué)校

Conti 集團(tuán)對(duì)佛羅里達(dá)州布勞沃德縣學(xué)區(qū)進(jìn)行入侵，據(jù)調(diào)查，Conti很可能使用通過網(wǎng)絡(luò)釣魚竊取的憑據(jù)來竊取學(xué)生和員工信息，并用惡意軟件感染該學(xué)區(qū)的信息系統(tǒng)。

8月：諾基亞子公司遭受 Conti 勒索軟件攻擊

自6月16日起，諾基亞子公司 SAC Wireless 遭到 Conti 集團(tuán)的勒索軟件攻擊，直至8月13日，在外部網(wǎng)絡(luò)安全專家的幫助下確認(rèn)了影響范圍。這次攻擊，破壞了SAC系統(tǒng)的網(wǎng)絡(luò)，竊取了大量數(shù)據(jù)，甚至加密了SAC的內(nèi)部系統(tǒng)。這次攻擊促使該公司加強(qiáng)系統(tǒng)訪問策略，并擴(kuò)大多因素身份驗(yàn)證 (MFA) 的要求，部署了額外的網(wǎng)絡(luò)和端點(diǎn)檢測(cè)工具，也采取了其他的如提供額外的員工培訓(xùn)等補(bǔ)救措施。但據(jù)Conti團(tuán)伙透露，他們?nèi)愿`取了超過250GB的數(shù)據(jù)，包括員工及其家人的個(gè)人信息。

9月：美國(guó)政府的聯(lián)合咨詢警告稱Conti勒索軟件對(duì)集團(tuán)襲擊事件增加

自今年5月份以來，Conti勒索軟件已經(jīng)襲擊了包括愛爾蘭醫(yī)療保健系統(tǒng)、美國(guó)醫(yī)療保健和急救系統(tǒng)在內(nèi)的 400 多家國(guó)外組織，在攻擊頻率上僅次于REvil勒索軟件。
美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)、FBI 和國(guó)家安全局于9月發(fā)布聯(lián)合聲明，敦促組織通過修補(bǔ)已知漏洞（包括Active Directory域控制器系統(tǒng)中的Zerologon漏洞）來防范 Conti 勒索軟件組的后續(xù)攻擊。警報(bào)最后還提到，各組織可以通過更新操作系統(tǒng)、應(yīng)用多因素身份驗(yàn)證等方式抵御Conti勒索軟件的沖擊。在Conti勒索軟件造成的攻擊事件中，攻擊者的主要目標(biāo)是獲取對(duì)組織網(wǎng)絡(luò)的訪問權(quán)限，攻擊者部署勒索軟件時(shí)，通常以橫向移動(dòng)、提權(quán)等方式展開攻擊，從而獲取AD的管理員權(quán)限甚至域控權(quán)限。

12月：Conti 勒索軟件將 Log4j 漏洞武器化

俄羅斯的 Conti 集團(tuán)基于 12 月發(fā)現(xiàn)的 Apache 日志庫(kù)中的 Log4j 漏洞開發(fā)了一個(gè)綜合攻擊鏈。攻擊方法包括 Kerberoasting，它從 Active Directory 中提取服務(wù)帳戶憑據(jù)。最大的人力資源軟件公司之一Kronos 遭到勒索軟件攻擊，懷疑存在 Log4j 漏洞，該攻擊破壞了包括紐約大都會(huì)交通管理局 (MTA) 和許多醫(yī)院在內(nèi)的組織的工資系統(tǒng)。

三、微軟修復(fù)多項(xiàng)漏洞

2021年對(duì)于微軟而言并不算太平，一直都在“漏洞被利用-漏洞被曝光-修復(fù)漏洞”的過程中，建議盡快更新補(bǔ)丁以提前防范。

7月：微軟修復(fù)了數(shù)個(gè)與身份相關(guān)的漏洞

7月，微軟發(fā)布了一系列警告、補(bǔ)丁和解決方案，其中微軟修復(fù)了一部分與身份相關(guān)的漏洞，包括針對(duì) Windows 域控制器的PetitPotam 攻擊漏洞、一個(gè)關(guān)鍵的PowerShell 7代碼執(zhí)行漏洞以及SeriousSam漏洞。微軟還在Microsoft Defender身份認(rèn)證中添加了PrintNightmare 檢測(cè)，并在 Microsoft Defender 中為安全運(yùn)營(yíng)團(tuán)隊(duì)添加了鎖定受感染用戶的 Active Directory 帳戶的功能。

11月：ProxyShell 導(dǎo)致全域勒索軟件攻擊

ProxyShell是 7 月份披露的三個(gè) Microsoft Exchange Server 漏洞的名稱，它們共同點(diǎn)為能夠進(jìn)行權(quán)限提升和遠(yuǎn)程代碼執(zhí)行。根據(jù) DBIR 報(bào)告，未打補(bǔ)丁的 Exchange Server 客戶遭受了勒索軟件攻擊，該攻擊利用了未打補(bǔ)丁的漏洞并最終導(dǎo)致全域范圍的攻擊。報(bào)告稱，此次攻擊不涉及任何勒索軟件即服務(wù)工具，并且“幾乎沒有使用惡意軟件”。

12月：建議修補(bǔ)和其他措施以解決 Active Directory 漏洞

在2021年11月的補(bǔ)丁星期二發(fā)布針對(duì)兩個(gè) Active Directory 漏洞的安全補(bǔ)丁后，微軟于 12 月 20 日敦促客戶立即應(yīng)用補(bǔ)丁，以防止攻擊者接管 Windows 域。除了修補(bǔ)之外，組織還可以采取其他措施來防止未經(jīng)授權(quán)創(chuàng)建可能導(dǎo)致特權(quán)升級(jí)和攻擊的帳戶。

四、其他勒索軟件

除了REvil和Conti這兩位“大哥”，其他惡意軟件的危害也不可忽視，時(shí)不時(shí)就會(huì)搞個(gè)大新聞。

5月：MountLocker利用 Windows Active Directory API入侵

根據(jù)Bleeping Computer的一份報(bào)告，勒索軟件 MountLocker 現(xiàn)在使用 Windows Active Directory API 來入侵網(wǎng)絡(luò)。在使用 API 連接到受害者的 AD 服務(wù)后，MountLocker 攻擊者可以在受感染域中找到設(shè)備并使用竊取的域憑據(jù)對(duì)其進(jìn)行加密。

6月：AvosLocker 使用 DC 漏洞向受害者發(fā)送惡意軟件?

6月份出現(xiàn)了一個(gè)新的勒索軟件組織 AvosLocker ，以易受攻擊的域控制器為目標(biāo)，進(jìn)攻后進(jìn)入信息系統(tǒng)并向受害者（包括美國(guó)俄亥俄州日內(nèi)瓦市）發(fā)送惡意軟件。該組織在暗網(wǎng)發(fā)布廣告尋求其他人加入其業(yè)務(wù)或充當(dāng)附屬機(jī)構(gòu)，宣布招聘“具有 Active Directory 網(wǎng)絡(luò)經(jīng)驗(yàn)的滲透測(cè)試人員’和‘訪問代理’”。比較特別的是，AvosLocker是由攻擊者手動(dòng)運(yùn)行的。

8月：Hive 勒索軟件關(guān)閉健康衛(wèi)生系統(tǒng)觸發(fā) FBI 警報(bào)

Hive是2021年6月份首次出現(xiàn)的附屬運(yùn)營(yíng)勒索軟件，在FBI的描述中，它部署了“多種機(jī)制來破壞商業(yè)網(wǎng)絡(luò)，包括帶有惡意附件的網(wǎng)絡(luò)釣魚電子郵件以獲取訪問權(quán)限和遠(yuǎn)程桌面協(xié)議在網(wǎng)絡(luò)上橫向移動(dòng)”。FBI在8月份正式對(duì)外發(fā)出警報(bào)，并公布了俄亥俄州和弗雷吉尼亞州被Hive勒索系統(tǒng)入侵了健康衛(wèi)生系統(tǒng)的集團(tuán)列表，多家醫(yī)院因?yàn)橄到y(tǒng)問題導(dǎo)致手術(shù)推遲或病人被迫轉(zhuǎn)院。Hive 使用 ConnectWise 等遠(yuǎn)程管理軟件來滲透系統(tǒng)并獲取持續(xù)權(quán)限，然后部署 ADRecon 等工具來映射 Active Directory 環(huán)境。盡管大多數(shù)系統(tǒng)在攻擊后通過修復(fù)手段恢復(fù)運(yùn)營(yíng)，但是針對(duì)AD環(huán)境發(fā)起的勒索攻擊已經(jīng)實(shí)際威脅到醫(yī)療、能源、電力等眾多關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，該事件中醫(yī)療衛(wèi)生系統(tǒng)所遭受到的嚴(yán)重影響，也為國(guó)內(nèi)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)安全防護(hù)建設(shè)敲響了警鐘。

9月：LockBit運(yùn)營(yíng)組通過新的AD部署技術(shù)重新活躍于網(wǎng)絡(luò)

2021年初，LockBit勒索軟件被關(guān)停，在執(zhí)法部門的“制裁”下，LockBit的影響放緩。但自6月份以來，LockBit服務(wù)小組發(fā)布招募公告，宣稱已通過擴(kuò)展的附屬計(jì)劃和架構(gòu)轉(zhuǎn)變恢復(fù)運(yùn)營(yíng)，更新至2.0版本，還推出了一種新的通過組策略自動(dòng)向 Active Directory 客戶端傳送對(duì)象 (GPO)的部署方法。該軟件在 Active Directory 域控制器上執(zhí)行時(shí)，LockBit 2.0 會(huì)創(chuàng)建多個(gè) GPO 來執(zhí)行感染過程。同時(shí)會(huì)自動(dòng)更改Windows Defender 配置防止被檢測(cè)。LockBit2.0會(huì)刷新網(wǎng)絡(luò)共享，停止部分本地服務(wù)并終止進(jìn)程，然后將 LockBit 可執(zhí)行文件復(fù)制到客戶端桌面目錄中并執(zhí)行。截止目前，LockBit2.0的影響逐漸擴(kuò)散到全球。企業(yè)可通過攻防演練、加強(qiáng)身份認(rèn)證、加固內(nèi)網(wǎng)防護(hù)等方式提前預(yù)防，另外可通過滲透測(cè)試修補(bǔ)可能影響的漏洞。

本次盤點(diǎn)的內(nèi)容，在2021年發(fā)生的所有安全事件中只是冰山一角。醫(yī)院、學(xué)校、電視臺(tái)、燃?xì)夤艿馈y以計(jì)數(shù)的組織在過去一年里受到了攻擊者不同程度的入侵，現(xiàn)有的防護(hù)可能還不足以應(yīng)對(duì)所有的威脅，我們?nèi)孕枰鹬匾?，主?dòng)出擊，提升安全防護(hù)能力，防患于未然。

END

智域—是中安網(wǎng)星研發(fā)的一款針對(duì)域的安全管理產(chǎn)品，適用基于WINDOWS AD域構(gòu)建的企業(yè)內(nèi)網(wǎng)。作為企業(yè)內(nèi)部安全防線的核心環(huán)節(jié)，檢測(cè)能力覆蓋內(nèi)網(wǎng)攻擊殺傷鏈全部維度及大部分手法，可輔助企業(yè)建立域環(huán)境的整體安全防護(hù)體系，提高應(yīng)對(duì)針對(duì)公司級(jí)別高級(jí)攻擊活動(dòng)的感知與預(yù)警能力。長(zhǎng)按識(shí)別二維碼，關(guān)注AD域安全防護(hù)解決方案?