Microsoft Exchange Server가 Hive의 “windows.exe” 랜섬웨어에 의해 공격을 받았습니다.

소프트웨어를 최신 상태로 유지하고 신뢰할 수 있는 소스에서만 파일을 다운로드하는 것이 표준 사이버 보안 관행이지만 최근 맬웨어 공격이 증가함에 따라 이 분야에 대한 더 많은 교육이 필요하다는 것은 분명합니다. 이를 위해 Varonis 포렌식 팀은 Hive 랜섬웨어를 사용하는 공격자가 최신 일련의 공격에서 Microsoft Exchange Server를 표적으로 삼는 방법에 대한 몇 가지 지침을 제공했습니다. 모르시는 분들을 위해 설명하자면, Hive는 서비스형 랜섬웨어 모델을 따릅니다.

Microsoft는 2021년에 알려진 취약성에 대해 Exchange Server를 패치했고 대부분의 조직은 업데이트했지만 일부 조직은 업데이트하지 않았습니다. 이제 Hive는 ProxyShell 취약점을 통해 이러한 취약한 서버 인스턴스를 표적으로 삼아 SYSTEM 권한을 얻습니다. 그런 다음 PowerShell 스크립트는 Cobalt Strike를 시작하고 "user"라는 새 sysadmin 계정을 만듭니다.

이후 Mimikatz는 도메인 관리자의 NTLM 해시를 훔치고 계정 제어권을 얻는 데 사용되었습니다. 손상이 성공한 후 Hive는 IP 주소를 저장하기 위해 네트워크 스캐너를 배포하고, 파일 이름에 "비밀번호"가 포함된 파일을 검색하고, 중요한 자산에 액세스하기 위해 백업 서버에 RDP를 시도하는 일부 검색을 수행합니다.

마지막으로, 파일을 훔치고 암호화하고, 섀도 복사본을 삭제하고, 이벤트 로그를 지우고, 보안 메커니즘을 비활성화하는 "windows.exe" 파일을 통해 사용자 지정 악성 코드 페이로드가 배포 및 실행됩니다. 그런 다음 그룹에게 Tor 네트워크를 통해 액세스할 수 있는 .onion 주소에 호스팅된 Hive의 "영업 부서"에 문의하도록 요청하는 랜섬웨어 지침이 표시됩니다. 감염된 조직에는 다음 지침도 제공되었습니다.

• *.key를 수정하거나 이름을 바꾸거나 삭제하지 마세요. 문서. 귀하의 데이터는 해독될 수 없습니다.
• 암호화된 파일을 수정하거나 이름을 바꾸지 마세요. 당신은 그들을 잃을 것입니다.
• 경찰, FBI 등에 신고하지 마세요. 그들은 당신의 사업에 관심이 없습니다. 그들은 당신이 지불하는 것을 전혀 허용하지 않습니다. 결과적으로 당신은 모든 것을 잃게 될 것입니다.
• 복구 업체를 고용하지 마세요. 키가 없으면 암호를 해독할 수 없습니다. 그들은 당신의 사업에도 관심이 없습니다. 그들은 자신들이 훌륭한 협상가라고 믿고 있지만 그렇지 않습니다. 그들은 대개 실패합니다. 그러니 스스로 말해보세요.
• 구매를 거부하지 마세요. 유출된 문서는 공개됩니다.

Hive가 지불되지 않으면 해당 정보가 "HiveLeaks" Tor 웹사이트에 게시되기 때문에 마지막 사항은 확실히 흥미롭습니다. 피해자에게 지불을 강요하는 카운트다운이 동일한 웹사이트에 표시됩니다.

보안팀은 공격자가 최초 침해 후 72시간 이내에 환경을 암호화한 사례도 있다고 지적했습니다. 따라서 조직은 즉시 Exchange 서버에 패치를 적용하고, 복잡한 비밀번호를 정기적으로 교체하고, SMBv1을 차단하고, 가능한 경우 액세스를 제한하고, 직원에게 사이버 보안 분야에 대한 교육을 실시할 것을 권장합니다.

위 내용은 Microsoft Exchange Server가 Hive의 “windows.exe” 랜섬웨어에 의해 공격을 받았습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!