去年10月公司中过一次招，记得是lockbit2.0，发现的早污染范围不大，最后没有交赎金，这种勒索程序为了污染速度快，写入加密字节数有时候不多，比如我们当时公司的所有sql数据库文件最后几乎都恢复回来了（99%以上），金蝶公司的人就帮忙恢复了，因为sql数据库文件是连续记录文件，只污染文件头其实大部分数据都还在，很好恢复，其他文件就不行了，本地有一个德企也是中招了，要3000万，最后没给停工2个月人工恢复的数据。
黑客一般是通过域控系统攻击企业，微软这套域控系统20多年了方案陈旧有很多漏洞，黑客发现你用域控很容易就能获取域控管理员权限，然后整个网络下加域的机器就一览无遗了。

[ 本帖最后由 landice 于 2022-8-24 19:55 编辑 ]

引用:

原帖由 refo 于 2022-8-25 07:28 发表
posted by wap, platform: VIVO
微软已经在推ldaps了，而且dc每次都有升级，估计不少公司升的慢

微软是有更新更可靠的方案，但大部分国内企业不会这么快跟进最新的系统，毕竟稍微有点规模的公司升级都是一笔不小的开支，我们当时被黑，后来追溯原因黑客就是利用一个公司早期离职的域控管理员的账号，虽然那个的账号早就被停用并设置为普通账户，但黑客利用漏洞可以将其提权回域控管理员，然后在全域分发加密命令，内网全终端加密，利用域控是最简单的方式，其他方式都很难实现。

引用:

原帖由 alfredxi 于 2022-8-25 09:43 发表
posted by wap, platform: Chrome
我擦 这个怎么防？我单位感觉啥安全也没有，就装了360之类的

你们要是公司压根没有域控，就是独立的服务器和独立的电脑办公，很多时候反而没事，被攻击也就是几台机器的事情。
信息安全做的特别好的公司防范能力强也可以，
怕的就是那种半吊子的，又要上域控，又没有特别专业的防范能力。

引用:

原帖由 sssssale 于 2022-8-25 16:45 发表
posted by wap, platform: Chrome
喷了，不加域 IT怎么管？

传统域控下管理员的权限太大了，一旦被接管风险非常大，你要是一直保持维护在微软最新的域服务版本，有完善的IT管理机制也没事，但现在很多公司的所谓域控，弄个几年前的winserver2012或2016版本的机器就当域控服务器了，系统还不一定更新到最新，IT人员离职了没有完善的账号回收清理机制，一旦被暗网的黑客扫到那就是gg的命，现在国内这些有固定企业IP的一个公司，你让IT调取一下主路由的日志，可以看到每天被多少不明IP扫描或者尝试暴力皮角，很多都来自一些以前独联体涉及的区域。
其实不用域也可以管理的，一般的小企业，你买一个火绒杀毒之类的企业版服务，所有终端安装企业版火绒，IT管理员在内网服务端就可以自由查看每台机器的网络设置，安装的软件，网络行为这些都没问题，没特定需求没必要上域控。

引用:

原帖由 Crazylife 于 2022-8-25 17:22 发表
posted by wap, platform: Android
讲真，ad管不好，分散的机器就能管好了？

加域后至少能通过gpo把打补丁和装杀毒软件这两个安全关卡给强制了，顺便把一堆不安全的协议给禁了，那客户端安全性比起单机已经大大提 ...

道理都对，我讲的是实际操作的问题，域控管理员被接管确实是小概率事件，就好比飞机坠机，但一旦发生也是对整个公司破坏性最大的，甚至会直接造成企业停转，所以我前面几贴一直强调的都不是不能用域控，而是没有金刚钻别揽瓷器活，你如果懒，不愿意花资源维护，那就弄个企业版杀毒和防火墙简单监控一下客户端行为就完了，出了问题也是零散机器的问题。现状是，国内很多中小规模的公司，IT管理不规范的情况非常普遍，企业建立初期很认真的弄一套域控系统，几年以后就会疏于管理变成你说的那种千疮百孔的状态，这也是为啥近两年国内中招企业这么多的原因，光我在的这个小城市就有好几个。

[ 本帖最后由 landice 于 2022-8-25 17:36 编辑 ]

引用:

原帖由 Dogfight 于 2022-8-25 19:44 发表
搜了下，应该是这个漏洞
https://www.bilibili.com/read/cv14416499/
本次披露的CVE-2021-42287/CVE-2021-42278 权限提升漏洞可将域内的任意用户提升至域管权限，对企业身份认证及相关数据资产造成了严重威胁。

...

看了一下还真可能是，我提的那个提权案例是去年10月份的事情，那段时间很多企业被勒索，到12月其实很多企业已经中招过了，很多时候这种漏洞被黑客发现后，自己先玩一玩，玩够了再放出来让人修补。

[ 本帖最后由 landice 于 2022-8-25 20:43 编辑 ]