Microsoft Exchange ServerがHiveの「windows.exe」ランサムウェアに攻撃される

ソフトウェアを常に最新の状態に保ち、信頼できるソースからのみファイルをダウンロードすることはサイバーセキュリティの標準的な慣行ですが、最近のマルウェア攻撃の増加を考慮すると、この点についてさらなる教育が必要であることは明らかです。そのために、Varonis フォレンジック チームは、Hive ランサムウェアを使用する攻撃者が最新の一連の攻撃でどのように Microsoft Exchange Server をターゲットにするかに関するガイダンスを提供しました。知らない人のために説明すると、Hive はサービスとしてのランサムウェア モデルに従っています。

Microsoft は 2021 年に既知の脆弱性に対して Exchange Server にパッチを適用し、ほとんどの組織は更新しましたが、一部の組織は更新していません。 Hive は、ProxyShell の脆弱性を介してこれらの脆弱なサーバー インスタンスをターゲットにし、SYSTEM 権限を取得します。次に、PowerShell スクリプトは Cobalt Strike を開始し、「user」という名前の新しい sysadmin アカウントを作成します。

この後、Mimikatz はドメイン管理者の NTLM ハッシュを盗み、アカウントを制御するために使用されました。侵害に成功すると、Hive はネットワーク スキャナーを展開して IP アドレスを保存し、ファイル名に「パスワード」を含むファイルをスキャンして、機密資産にアクセスするためにバックアップ サーバーへの RDP を試みる検出を実行します。

最後に、カスタム マルウェア ペイロードが「windows.exe」ファイル経由で展開および実行され、ファイルの盗難と暗号化、シャドウ コピーの削除、イベント ログのクリア、およびセキュリティ メカニズムの無効化が行われます。その後、ランサムウェアの指示が表示され、Tor ネットワーク経由でアクセスできる .onion アドレスでホストされている Hive の「営業部門」に連絡するようグループに求められます。感染した組織には次の指示も提供されています:

• *.key を変更、名前変更、または削除しないでください。書類。データを復号化することはできません。
• 暗号化されたファイルを変更したり、名前を変更したりしないでください。それらを失うことになります。
• 警察やFBIなどには通報しないでください。彼らはあなたのビジネスなど気にしていません。彼らはあなたに支払いをまったく許可しません。その結果、すべてを失うことになります。
• 回収会社に依頼しないでください。キーがなければ復号化できません。彼らはあなたのビジネスにも興味がありません。彼らは自分たちが優れた交渉人であると信じていますが、実際はそうではありません。彼らはたいてい失敗します。だから自分自身のことを話してください。
• 購入を拒否しないでください。漏洩した文書は一般に公開されます。

最後の点は確かに興味深いものです。なぜなら、Hive に支払いがなかったら、その情報は「HiveLeaks」Tor Web サイトに公開されていたはずだからです。同じウェブサイトにカウントダウンが表示され、被害者に支払いを強制する。

セキュリティ チームは、ある例では、攻撃者が最初の侵害から 72 時間以内に環境の暗号化に成功したことを指摘しました。したがって、組織は直ちにExchangeサーバーにパッチを適用し、複雑なパスワードを定期的に更新し、SMBv1をブロックし、可能な場合はアクセスを制限し、サイバーセキュリティの分野で従業員を訓練することを推奨しています。

以上がMicrosoft Exchange ServerがHiveの「windows.exe」ランサムウェアに攻撃されるの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。