TGFC Lifestyle - Powered by Discuz! Board

标题: 公司被用bitlocker勒索了 [打印本页]

作者: helllee 时间: 2022-8-24 19:08 标题: 公司被用bitlocker勒索了

posted by wap, platform: iPhone
一半以上主机包括数据服务器被锁掉
而且不是城市区域而是全国范围包括数据服务器都锁了
有同事昨晚深夜加班到3点突然也被强制重启后锁定
勒索信是英文不知道勒索多少个币了

本帖最后由 helllee 于 2022-8-24 19:09 通过手机版编辑

作者: landice 时间: 2022-8-24 19:52

去年10月公司中过一次招，记得是lockbit2.0，发现的早污染范围不大，最后没有交赎金，这种勒索程序为了污染速度快，写入加密字节数有时候不多，比如我们当时公司的所有sql数据库文件最后几乎都恢复回来了（99%以上），金蝶公司的人就帮忙恢复了，因为sql数据库文件是连续记录文件，只污染文件头其实大部分数据都还在，很好恢复，其他文件就不行了，本地有一个德企也是中招了，要3000万，最后没给停工2个月人工恢复的数据。
黑客一般是通过域控系统攻击企业，微软这套域控系统20多年了方案陈旧有很多漏洞，黑客发现你用域控很容易就能获取域控管理员权限，然后整个网络下加域的机器就一览无遗了。

[ 本帖最后由 landice 于 2022-8-24 19:55 编辑 ]

作者: djm 时间: 2022-8-24 22:34

posted by wap, platform: iPhone
啥漏洞？

作者: 水口腐乳 时间: 2022-8-24 23:44

posted by wap, platform: iPhone
关注

作者: refo 时间: 2022-8-25 07:28

posted by wap, platform: VIVO

引用:

原帖由 @landice 于 2022-8-24 19:52 发表
去年10月公司中过一次招，记得是lockbit2.0，发现的早污染范围不大，最后没有交赎金，这种勒索程序为了污染速度快，写入加密字节数有时候不多，比如我们当时公司的所有sql数据库文件最后几乎都恢复回来了（99%以上），金蝶公司的人就帮忙恢复了，因为sql数据库文件是连续记录文件，只污染文件头其实大部分数据都还在，很好恢复，其他文件就不行了，本地有一个德企也是中招了，要3000万，最后没给停工2个月人工恢复的数据。
黑客一般是通过域控系统攻击企业，微软这套域控系统20多年了方案陈旧有很多漏洞，黑客发现你用域控很容易就能获取域控管理员权限，然后整个网络下加域的机器就一览无遗了。

微软已经在推ldaps了，而且dc每次都有升级，估计不少公司升的慢

作者: naughtyben 时间: 2022-8-25 08:07

posted by wap, platform: iPhone
不明觉历

作者: landice 时间: 2022-8-25 08:27

引用:

原帖由 refo 于 2022-8-25 07:28 发表
posted by wap, platform: VIVO
微软已经在推ldaps了，而且dc每次都有升级，估计不少公司升的慢

微软是有更新更可靠的方案，但大部分国内企业不会这么快跟进最新的系统，毕竟稍微有点规模的公司升级都是一笔不小的开支，我们当时被黑，后来追溯原因黑客就是利用一个公司早期离职的域控管理员的账号，虽然那个的账号早就被停用并设置为普通账户，但黑客利用漏洞可以将其提权回域控管理员，然后在全域分发加密命令，内网全终端加密，利用域控是最简单的方式，其他方式都很难实现。

作者: apple524 时间: 2022-8-25 09:09

先前公司中毒的时候也是所有加域的服务器都被勒索了，后面干脆非必要服务器不加域，反而没事

作者: richiter 时间: 2022-8-25 09:24

posted by wap, platform: Android
平时信息安全没投入吧，迟早要还的

作者: Dogfight 时间: 2022-8-25 09:42

今年很多公司都中了
我不知道是通过什么途径？勒索病毒微软应该打过补丁了，
看7楼那是user提权，那可是大漏洞了，这个没新闻吗？具体哪个KB更新提到？

作者: alfredxi 时间: 2022-8-25 09:43

posted by wap, platform: Chrome
我擦这个怎么防？我单位感觉啥安全也没有，就装了360之类的

作者: apple524 时间: 2022-8-25 09:56

引用:

原帖由 alfredxi 于 2022-8-25 09:43 发表
posted by wap, platform: Chrome
我擦这个怎么防？我单位感觉啥安全也没有，就装了360之类的

加强密码，经常打系统补丁，exchange密码错误锁定账号等基础安全措施
还要就是备份，有备份就不慌了。
杀毒软件没用，我们这里溯源后发现是域账号皮角了，提权，后台会关闭杀毒软件，然后全盘加密。
IT背锅

[ 本帖最后由 apple524 于 2022-8-25 09:57 编辑 ]

作者: beterhans 时间: 2022-8-25 09:59

posted by wap, platform: iPhone

引用:

原帖由 @apple524 于 2022-8-25 09:56 发表
加强密码，经常打系统补丁，exchange密码错误锁定账号等基础安全措施
还要就是备份，有备份就不慌了。
杀毒软件没用，我们这里溯源后发现是域账号皮角了，提权，后台会关闭杀毒软件，然后全盘加密。
IT背锅

也就是说根本没有病毒？
使用系统本身的漏洞和本事的加密功能

作者: Dogfight 时间: 2022-8-25 10:13

引用:

原帖由 beterhans 于 2022-8-25 01:59 发表
posted by wap, platform: iPhone
也就是说根本没有病毒？
使用系统本身的漏洞和本事的加密功能

前提是知道公司内部账号

这个可能是通过邮件病毒感染员工电脑窃取的

作者: NewRoaD 时间: 2022-8-25 10:31

用Azure Active Directory Domain Services的是否能无虞

作者: landice 时间: 2022-8-25 10:50

引用:

原帖由 alfredxi 于 2022-8-25 09:43 发表
posted by wap, platform: Chrome
我擦这个怎么防？我单位感觉啥安全也没有，就装了360之类的

你们要是公司压根没有域控，就是独立的服务器和独立的电脑办公，很多时候反而没事，被攻击也就是几台机器的事情。
信息安全做的特别好的公司防范能力强也可以，
怕的就是那种半吊子的，又要上域控，又没有特别专业的防范能力。

作者: 瑞奇马丁 时间: 2022-8-25 11:56

mac 好像很少听说被勒索

作者: qieyifonger 时间: 2022-8-25 13:49

AD域现在风险太大了，传播勒索病毒的最佳架构，不加域反而没那么容易...

作者: alexchang2010 时间: 2022-8-25 15:25

吓得我退出了域，结果只能本地登陆了~原来域账号没了……我的个性化内容都没了……

作者: sssssale 时间: 2022-8-25 16:45

posted by wap, platform: Chrome
喷了，不加域 IT怎么管？

作者: landice 时间: 2022-8-25 17:11

引用:

原帖由 sssssale 于 2022-8-25 16:45 发表
posted by wap, platform: Chrome
喷了，不加域 IT怎么管？

传统域控下管理员的权限太大了，一旦被接管风险非常大，你要是一直保持维护在微软最新的域服务版本，有完善的IT管理机制也没事，但现在很多公司的所谓域控，弄个几年前的winserver2012或2016版本的机器就当域控服务器了，系统还不一定更新到最新，IT人员离职了没有完善的账号回收清理机制，一旦被暗网的黑客扫到那就是gg的命，现在国内这些有固定企业IP的一个公司，你让IT调取一下主路由的日志，可以看到每天被多少不明IP扫描或者尝试暴力皮角，很多都来自一些以前独联体涉及的区域。
其实不用域也可以管理的，一般的小企业，你买一个火绒杀毒之类的企业版服务，所有终端安装企业版火绒，IT管理员在内网服务端就可以自由查看每台机器的网络设置，安装的软件，网络行为这些都没问题，没特定需求没必要上域控。

作者: Crazylife 时间: 2022-8-25 17:22

posted by wap, platform: Android

引用:

原帖由 @landice 于 2022-8-25 17:11 发表
传统域控下管理员的权限太大了，一旦被接管风险非常大，你要是一直保持维护在微软最新的域服务版本，有完善的IT管理机制也没事，但现在很多公司的所谓域控，弄个几年前的winserver2012或2016版本的机器就当域控服务器了，系统还不一定更新到最新，IT人员离职了没有完善的账号回收清理机制，一旦被暗网的黑客扫到那就是gg的命，现在国内这些有固定企业IP的一个公司，你让IT调取一下主路由的日志，可以看到每天被多少不明IP扫描或者尝试暴力皮角，很多都来自一些以前独联体涉及的区域。
其实不用域也可以管理的，一般的小企业，你买一个火绒杀毒之类的企业版服务，所有终端安装企业版火绒，IT管理员在内网服务端就可以自由查看每台机器的网络设置，安装的软件，网络行为这些都没问题，没特定需求没必要上域控。

讲真，ad管不好，分散的机器就能管好了？

加域后至少能通过gpo把打补丁和装杀毒软件这两个安全关卡给强制了，顺便把一堆不安全的协议给禁了，那客户端安全性比起单机已经大大提高了。

域管理员账号被拿下是比单机中毒概率小的多的事件，至少攻击者要处心积虑才能拿下，脚本小子广撒网是搞不下ad的。反过来说，域管理员都被拿下了，那这个公司的网络已经千疮百孔了，你的电脑不加域，攻击者也有的是办法把你关键数据加密了来勒索你。就像刷副本，你都团灭了，你居然想我单刷是不是更好一点？

作者: landice 时间: 2022-8-25 17:34

引用:

原帖由 Crazylife 于 2022-8-25 17:22 发表
posted by wap, platform: Android
讲真，ad管不好，分散的机器就能管好了？

加域后至少能通过gpo把打补丁和装杀毒软件这两个安全关卡给强制了，顺便把一堆不安全的协议给禁了，那客户端安全性比起单机已经大大提 ...

道理都对，我讲的是实际操作的问题，域控管理员被接管确实是小概率事件，就好比飞机坠机，但一旦发生也是对整个公司破坏性最大的，甚至会直接造成企业停转，所以我前面几贴一直强调的都不是不能用域控，而是没有金刚钻别揽瓷器活，你如果懒，不愿意花资源维护，那就弄个企业版杀毒和防火墙简单监控一下客户端行为就完了，出了问题也是零散机器的问题。现状是，国内很多中小规模的公司，IT管理不规范的情况非常普遍，企业建立初期很认真的弄一套域控系统，几年以后就会疏于管理变成你说的那种千疮百孔的状态，这也是为啥近两年国内中招企业这么多的原因，光我在的这个小城市就有好几个。

[ 本帖最后由 landice 于 2022-8-25 17:36 编辑 ]

作者: Dogfight 时间: 2022-8-25 19:44

搜了下，应该是这个漏洞
https://www.bilibili.com/read/cv14416499/
本次披露的CVE-2021-42287/CVE-2021-42278 权限提升漏洞可将域内的任意用户提升至域管权限，对企业身份认证及相关数据资产造成了严重威胁。

这个补丁不打，只要被黑客访问到内网，那100%完蛋，随便找台普通电脑用户就能提权

作者: landice 时间: 2022-8-25 20:40

引用:

原帖由 Dogfight 于 2022-8-25 19:44 发表
搜了下，应该是这个漏洞
https://www.bilibili.com/read/cv14416499/
本次披露的CVE-2021-42287/CVE-2021-42278 权限提升漏洞可将域内的任意用户提升至域管权限，对企业身份认证及相关数据资产造成了严重威胁。

...

看了一下还真可能是，我提的那个提权案例是去年10月份的事情，那段时间很多企业被勒索，到12月其实很多企业已经中招过了，很多时候这种漏洞被黑客发现后，自己先玩一玩，玩够了再放出来让人修补。

[ 本帖最后由 landice 于 2022-8-25 20:43 编辑 ]

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)