在将入侵后工具下载到服务器、PC 之前，不法分子会在 Google 上搜索它们

据 Sophos 威胁研究人员称，Lockbit 勒索软件运营商在政府机构的网络中花费了近六个月的时间，删除日志并使用 Chrome 下载黑客工具，然后最终部署勒索软件。

在未具名的美国地区政府机构开始调查入侵之前大约一个月，网络犯罪分子删除了大部分日志数据以掩盖他们的踪迹。

但他们并没有删除所有日志，也没有删除浏览器搜索历史，这意味着他们留下了一些碎屑。

“Sophos 能够从那些未被干扰的日志中拼凑出攻击的叙述，这些日志提供了对一个不是特别复杂但仍然成功的攻击者的行为的亲密观察，”安全商店的 Andrew Brandt 和 Angela Gunn本周在攻击分析。

其他组织有望从这种入侵中学到一些东西，以避免类似的命运。对于两件事，对帐户使用多因素身份验证，以及限制远程桌面访问（例如，经过身份验证的 VPN 连接）可能有所帮助。

据 Sophos 称，不法分子通过远程桌面协议 (RDP) 服务闯入：防火墙被配置为提供对 RDP 服务器的公共访问。正如 Sophos 研究人员指出的那样，切入点“没什么了不起的”。没有确切说明不法分子是如何进入的——例如通过暴力破解弱密码、使用被盗凭证、窃听流氓内部人员或利用安全漏洞——但我们被告知入侵者设法劫持了本地服务器上的管理员帐户也具有 Windows 域管理员权限，这将使探索和破坏网络变得简单。

勒索软件团伙留下了他们在被征用的服务器和台式机上安装的各种合法远程访问工具的记录。起初，这些不法分子表现出对 ScreenConnect IT 管理套件的偏好，但随后他们转而使用 AnyDesk，Brandt 和 Gunn 指出，这可能是为了逃避网络上的反措施。

安全研究人员还发现了 RDP 扫描、利用和暴力破解密码工具，以及记录其成功使用的日志。该团伙似乎希望在该机构的机器中设置多条路径，以确保在一条或多条通道关闭时工作人员可以重新连接。

因此，识别和处理意外的远程桌面或远程命令连接可以在未来拯救您的组织。

“不寻常的远程访问连接，即使来自合法帐户，也可能是入侵的迹象，”Sophos 威胁研究总监 Christopher Budd 在给The Register的电子邮件中指出。“此外，网络内部的异常行为，特别是下载经常被攻击者滥用的强大合法工具可能是另一个迹象。”

网络犯罪分子的网络搜索显示，他们使用政府计算机查找并安装了多种入侵后工具和其他类型的恶意软件。这包括密码暴力破解器、加密矿工和盗版 VPN 客户端软件。

此外，Sophos 发现该团伙“使用 PsExec、FileZilla、Process Explorer 或 GMER 等免费软件工具来执行命令、将数据从一台机器移动到另一台机器以及杀死或破坏阻碍他们工作的进程的证据”。

Sophos 指出，该网络的技术人员也犯了一些错误。在一种情况下，他们在完成维护工作后使保护功能失效。这使得一些系统容易受到渗透者的干预，他们关闭了服务器和一些桌面上的端点安全产品，然后安装了远程访问工具来保持对机器的控制。接下来，数据被盗。

“在没有适当保护的情况下，攻击者安装 ScreenConnect 为自己提供远程访问的备份方法，然后迅速将文件从网络上的文件服务器泄露到云存储提供商 Mega，”Brandt 和 Gunn 写道。

好的，谷歌，我应该使用什么恶意软件？
Sophos 指出，经过五个月的谷歌搜索恶意软件并在该机构的网络上四处闲逛，犯罪分子的行为发生了“戏剧性的变化”。

日志显示，他们远程连接并安装了 Mimikatz，这是一个可以从 Windows 系统中提取帐户用户名和登录凭据的开源工具。这家安全商店补充说，它的防病毒产品首次尝试运行该软件，但显然“IT 部门没有注意到来自 Sophos 套件的警告”，并且通过受损帐户运行 Mimikatz 的其他尝试也奏效了。

此时，攻击者开始表现得更像是专业的网络犯罪分子，Sophos 还注意到 IP 地址位置扩大了。最终，分析将歹徒的 IP 地址追踪到伊朗、俄罗斯、保加利亚、波兰、爱沙尼亚和加拿大。Sophos 补充说，这些可能是 Tor 出口节点。

在大约五个月的时间里，政府机构的 IT 团队注意到系统反复重启，并且“表现得很奇怪”。它开始调查和分割网络，以保护已知良好的机器免受其余机器的影响。

但 IT 团队在重建网络期间禁用了 Sophos Tamper Protection，安全供应商表示“在那之后事情变得很疯狂”。

在入侵开始后的第 6 个月的第一天，网络犯罪分子运行了 Advanced IP Scanner，开始通过网络横向移动到“多个敏感服务器”，并使用受损的凭据通过 LockBit 加密机器并发送赎金记录。

“几分钟之内，攻击者就可以访问大量敏感人员并购买文件，攻击者正在努力进行另一次凭证转储，”Brandt 和 Gunn 写道。

第二天，政府机构召集了 Sophos 安全分析师，并开始与他们合作关闭提供远程访问的服务器并删除恶意软件。

“在调查过程中，”Sophos 两人写道，“一个因素似乎很突出：目标的 IT 团队做出了一系列战略选择，使攻击者能够自由移动并无障碍地访问内部资源。部署 MFA 会阻碍威胁参与者的访问，防火墙规则也会在没有 VPN 连接的情况下阻止远程访问 RDP 端口。

“及时响应警报，甚至是有关性能下降的警告，可以防止许多攻击阶段产生效果。禁用端点安全软件上的篡改保护等功能似乎是攻击者完全删除保护并完成其攻击所需的关键杠杆。无阻碍的工作。”

Sophos 的文章包括从这次感染中收集的一系列危害指标，供您在网络上进行扫描。