研究人員表示， 此次Nefilim勒索軟件攻擊是由一個不受系統監控的賬戶泄露導致的，此次活動攻擊了100多個系統，調查發現，該賬戶屬于公司一名員工，但是該員工已于三個月前去世了。

Nefilim(又名Nemty)是2020年出現的一種勒索軟件，攻擊者采取了一種被稱為雙重勒索的策略。換句話說，Nefilim威脅說，如果受害者不支付贖金，就會向公眾公布數據;它有自己建立在TOR節點上泄密網站，名為Corporate Leaks。最重要的是，它在去年年初還攻擊了澳大利亞運輸巨頭Toll集團。

根據Sophos研究員Michael Heller的說法，在最近的一次攻擊中，攻擊者通過利用Citrix軟件的漏洞對系統進行入侵，之后該團伙獲得了一個管理員賬戶的訪問權限。然后利用Mimikatz竊取了一個域管理賬戶的憑證。

Nefilim潛伏了一個月，竊取了大量數據

Sophos通過取證分析發現，該組織安裝的Citrix Storefront 7.15 CU3在事發時存在一個已知的安全漏洞(CVE-2019-11634)和四個高危漏洞(CVE-2019-13608、CVE-2020-8269、CVE-2020-8270、CVE-2020-8283)。Storefront是一個企業應用商店，員工可以用它來下載被企業批準使用的應用。

團隊發現，幾乎可以肯定的是，犯罪分子是從這里進入到受害者網絡的。

在利用Citrix漏洞進入到公司的網絡后，為了維持對攻擊中使用的初始管理賬戶的遠程訪問權限，攻擊者還使用了遠程桌面協議(RDP)對跳板機進行登錄。

為了能夠橫向移動，攻擊者使用了Mimikatz，它允許攻擊者枚舉和查看系統上存儲的憑證。掌握了這些信息，他們就可以入侵一個域管理員賬戶。

Windows中的域管理員賬戶是一個可以編輯活動目錄信息的賬戶。它可以修改活動目錄服務器的配置，可以修改活動目錄中存儲的任何內容。包括創建新用戶、刪除用戶和改變用戶的權限。因此，域管理員對于網絡有很大的控制權限。

Heller在周二的分析中解釋說："安全響應調查組隨后發現犯罪分子使用PowerShell命令以及使用RDP和Cobalt Strike橫向移動到多個主機，然后對內網進行信息偵察和枚舉攻擊。攻擊者還安裝了文件傳輸和同步應用程序MEGA，以便后續進行數據傳輸;并且Nefilim勒索軟件二進制文件是通過使用被入侵的域管理員賬戶的Windows管理工具(WMI)來部署的。"

Heller說，Nefilim攻擊者啟動勒索軟件進行攻擊之前，在受害者的網絡內部總共呆了大約一個月，為了避免被發現，他們經常在半夜進行活動。

他在周二的一篇文章中指出："攻擊者在獲取了該管理賬戶的訪問權限后，然后用了一個月的時間在企業內網悄悄移動，竊取域管理賬戶的憑證，然后找到了他們想要的數據文件，總共竊取了數百GB的數據，最后又使用勒索軟件對企業進行攻擊"。

幽靈賬戶：失敗的網絡安全管理

此次攻擊的問題在于，網絡犯罪分子是通過使用一個已經不在公司的員工的賬戶來獲取的公司的數據秘鑰。事實上，這個賬戶的所有者已經不在人世間了。研究人員表示，這類 "幽靈 "賬戶給企業帶來了很高的安全風險，由于系統沒有監視這類賬號的活動，這類賬戶在管理方面缺乏必要的安全措施。

Sophos安全響應經理Peter Mackenzie告訴客戶，另一種更隱蔽的攻擊者可能已經潛伏了幾個月，竊取了公司系統中所有的敏感信息。

"如果他們沒有部署勒索軟件，在客戶不知情的情況下，攻擊者所擁有的域管理員權限在網絡中可以使用多長時間呢?"

因此，如果在創建或使用域管理賬戶時能夠發出警報，就有可能防止攻擊。在之前的一個案例中，Sophos的研究人員看到一個攻擊者獲得了組織網絡的訪問權限，創建了一個新的用戶，并將該賬戶添加到了活動目錄的域管理組中。但是，這個過程沒有觸發任何警報。

Mackenzie說："那個新的域管理賬戶持續刪除了大約150個虛擬服務器，并使用微軟BitLocker加密服務器進行備份。"

防止攻擊最好的方法是將這類賬戶完全停止使用，但該組織表示，"因為有的服務需要這類賬戶"，所以它一直沒有被禁用。

Heller指出："如果一個組織在某人離開公司后真的需要一個賬戶，他們應該使用服務賬戶，并設置為拒絕交互式登錄，防止用戶出現任何違規的活動，或者，如果他們不需要這個賬戶去做其他事情，就禁用它，并對活動目錄定期進行審計。如果有賬戶被添加到域管理員組中，活動目錄審計策略就可以設置為監控管理員賬戶活動。"

Mackenzie說，一般來說，需要指定為域管理員的賬戶比普通的域成員賬戶要少得多。

他說："人們認為，如果一個人是高管或負責網絡的工作人員，那么他們就需要使用域管理員賬戶。這并不合理，而且很危險，任何具有特權的帳戶都不應該被默認用于不需要該級別權限的工作人員中。用戶應該將權限在需要時提升到所需權限 "。

避免此類攻擊的最合理的方法是：只授予特定任務或角色所需的訪問權限;禁用不再需要使用的賬戶;使用服務賬戶并拒絕任何 "幽靈 "賬戶的交互式登錄;對Active Directory進行定期審計，監控管理員賬戶活動并查看是否有新的賬戶添加到域管理員組。

本文翻譯自：https://threatpost.com/nefilim-ransomware-ghost-account/163341/如若轉載，請注明原文地址。