美国政府已经更新了AvosLocker勒索软件分支机构在攻击中使用的工具列表,其中包括开源实用程序以及自定义PowerShell和批处理脚本。
在一份联合网络安全咨询报告中,联邦调查局(FBI)和网络安全和基础设施安全局(CISA)还分享了一项YARA规则,用于检测伪装成合法网络监控工具的恶意软件。
混合了开源软件和正版软件
众所周知,AvosLocker勒索软件分支机构使用合法软件和开源代码进行远程系统管理,以破坏和窃取企业网络中的数据。
FBI观察到威胁参与者使用自定义PowerShell、web shell和批处理脚本在网络上横向移动,增加他们的权限,并禁用系统上的安全代理。
在最新的公告中,这些机构分享了以下工具,作为AvosLocker勒索软件分支机构武器库的一部分:
- Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy, Atera Agent远程管理工具,用于后门访问
- 开源网络隧道工具:Ligolo, Chisel
- 对手仿真框架钴打击和银的指挥和控制
- Lazagne和Mimikatz收集证书
- FileZilla和Rclone用于数据泄露
在AvosLocker攻击中观察到的其他公开可用工具包括notepad++, RDP Scanner和7zip。合法的本地Windows工具,如PsExec和Nltest也可以看到。
AvosLocker攻击的另一个组成部分是一个名为NetMonitor.exe的恶意软件,它伪装成一个合法进程,并具有合法网络监控工具的外观。
然而,NetMonitor是一个持久化工具,它每五分钟从网络发出一次警报,并充当反向代理,使威胁参与者能够远程连接到危害网络。
利用高级数字取证小组的调查细节,联邦调查局创建了下面的YARA规则来检测网络上的NetMonitor恶意软件。
规则NetMonitor
{
元:
作者= "FBI"
来源= "FBI"
share = "TLP:CLEAR"
status = "已释放"
description = "Yara规则检测NetMonitor.exe"
类别=“恶意软件”
Creation_date = "2023-05-05"
字符串:
$rc4key = {11 4b 8c dd 65 74 22 c3}
$op0 = {c6 [3] 00 00 05 c6 [3] 00 00 07 83 [3] 00 00 05 0f 85 [4] 83 [3] 00 00 01 75 ??8b [2] 4c 8d [2] 4c 8d [3] 00 00 48 8d [3] 00 00 48 8d [3] 00 00 48 89 [3] 48 89 ??e8}
条件:
uint16(0) == 0x5A4D
文件大小<50000
他们中的任何一个
}
AvosLocker附属公司已经对美国多个关键基础设施部门的组织造成了危害,影响了Windows、Linux和VMware ESXi环境;-
FBI和CISA
防御AvosLocker勒索软件
CISA和FBI建议组织实施应用程序控制机制来控制软件的执行,包括允许的程序,以及防止运行未经授权的实用程序的便携式版本,特别是远程访问工具。
防御威胁参与者的部分最佳实践是通过限制登录尝试次数和实现抗网络钓鱼的多因素身份验证(MFA)来限制使用远程桌面服务(如RDP)。
应用最小权限原则也是建议的一部分,组织应该禁止用户使用命令行、脚本和PowerShell,因为他们的工作不需要这些。
将软件和代码更新到最新版本,使用更长的密码,以散列格式存储它们,如果登录是共享的,则将它们保存起来,并分割网络,这些仍然是安全专家的一贯建议。
当前的网络安全咨询增加了a
上一部在3月中旬上映
该公司指出,一些AvosLocker勒索软件攻击利用了内部部署的微软Exchange服务器的漏洞。
如若转载,请注明出处:https://www.ozabc.com/anquan/537055.html