Board logo

标题: 公司被用bitlocker勒索了 [打印本页]

作者: helllee    时间: 2022-8-24 19:08     标题: 公司被用bitlocker勒索了

posted by wap, platform: iPhone
一半以上主机 包括数据服务器被锁掉
而且不是城市区域而是全国范围 包括数据服务器都锁了
有同事昨晚深夜加班到3点突然也被强制重启后锁定
勒索信是英文 不知道勒索多少个币了

本帖最后由 helllee 于 2022-8-24 19:09 通过手机版编辑
作者: landice    时间: 2022-8-24 19:52

去年10月公司中过一次招,记得是lockbit2.0,发现的早污染范围不大,最后没有交赎金,这种勒索程序为了污染速度快,写入加密字节数有时候不多,比如我们当时公司的所有sql数据库文件最后几乎都恢复回来了(99%以上),金蝶公司的人就帮忙恢复了,因为sql数据库文件是连续记录文件,只污染文件头其实大部分数据都还在,很好恢复,其他文件就不行了,本地有一个德企也是中招了,要3000万,最后没给停工2个月人工恢复的数据。
黑客一般是通过域控系统攻击企业,微软这套域控系统20多年了方案陈旧有很多漏洞,黑客发现你用域控很容易就能获取域控管理员权限,然后整个网络下加域的机器就一览无遗了。

[ 本帖最后由 landice 于 2022-8-24 19:55 编辑 ]
作者: djm    时间: 2022-8-24 22:34

posted by wap, platform: iPhone
啥漏洞?
作者: 水口腐乳    时间: 2022-8-24 23:44

posted by wap, platform: iPhone
关注
作者: refo    时间: 2022-8-25 07:28

posted by wap, platform: VIVO
引用:
原帖由 @landice  于 2022-8-24 19:52 发表
去年10月公司中过一次招,记得是lockbit2.0,发现的早污染范围不大,最后没有交赎金,这种勒索程序为了污染速度快,写入加密字节数有时候不多,比如我们当时公司的所有sql数据库文件最后几乎都恢复回来了(99%以上),金蝶公司的人就帮忙恢复了,因为sql数据库文件是连续记录文件,只污染文件头其实大部分数据都还在,很好恢复,其他文件就不行了,本地有一个德企也是中招了,要3000万,最后没给停工2个月人工恢复的数据。
黑客一般是通过域控系统攻击企业,微软这套域控系统20多年了方案陈旧有很多漏洞,黑客发现你用域控很容易就能获取域控管理员权限,然后整个网络下加域的机器就一览无遗了。
微软已经在推ldaps了,而且dc每次都有升级,估计不少公司升的慢
作者: naughtyben    时间: 2022-8-25 08:07

posted by wap, platform: iPhone
不明觉历
作者: landice    时间: 2022-8-25 08:27

引用:
原帖由 refo 于 2022-8-25 07:28 发表
posted by wap, platform: VIVO
微软已经在推ldaps了,而且dc每次都有升级,估计不少公司升的慢
微软是有更新更可靠的方案,但大部分国内企业不会这么快跟进最新的系统,毕竟稍微有点规模的公司升级都是一笔不小的开支,我们当时被黑,后来追溯原因黑客就是利用一个公司早期离职的域控管理员的账号,虽然那个的账号早就被停用并设置为普通账户,但黑客利用漏洞可以将其提权回域控管理员,然后在全域分发加密命令,内网全终端加密,利用域控是最简单的方式,其他方式都很难实现。
作者: apple524    时间: 2022-8-25 09:09

先前公司中毒的时候也是所有加域的服务器都被勒索了,后面干脆非必要服务器不加域,反而没事
作者: richiter    时间: 2022-8-25 09:24

posted by wap, platform: Android
平时信息安全没投入吧,迟早要还的
作者: Dogfight    时间: 2022-8-25 09:42

今年很多公司都中了
我不知道是通过什么途径?勒索病毒微软应该打过补丁了,
看7楼那是user提权,那可是大漏洞了,这个没新闻吗?具体哪个KB更新提到?
作者: alfredxi    时间: 2022-8-25 09:43

posted by wap, platform: Chrome
我擦 这个怎么防?我单位感觉啥安全也没有,就装了360之类的
作者: apple524    时间: 2022-8-25 09:56

引用:
原帖由 alfredxi 于 2022-8-25 09:43 发表
posted by wap, platform: Chrome
我擦 这个怎么防?我单位感觉啥安全也没有,就装了360之类的
加强密码,经常打系统补丁,exchange密码错误锁定账号等基础安全措施
还要就是备份,有备份就不慌了。
杀毒软件没用,我们这里溯源后发现是域账号皮角了,提权,后台会关闭杀毒软件,然后全盘加密。
IT背锅

[ 本帖最后由 apple524 于 2022-8-25 09:57 编辑 ]
作者: beterhans    时间: 2022-8-25 09:59

posted by wap, platform: iPhone
引用:
原帖由 @apple524  于 2022-8-25 09:56 发表
加强密码,经常打系统补丁,exchange密码错误锁定账号等基础安全措施
还要就是备份,有备份就不慌了。
杀毒软件没用,我们这里溯源后发现是域账号皮角了,提权,后台会关闭杀毒软件,然后全盘加密。
IT背锅
也就是说根本没有病毒?
使用系统本身的漏洞 和本事的加密功能
作者: Dogfight    时间: 2022-8-25 10:13

引用:
原帖由 beterhans 于 2022-8-25 01:59 发表
posted by wap, platform: iPhone
也就是说根本没有病毒?
使用系统本身的漏洞 和本事的加密功能
前提是知道公司内部账号

这个可能是通过邮件病毒感染员工电脑窃取的
作者: NewRoaD    时间: 2022-8-25 10:31

用Azure Active Directory Domain Services的是否能无虞
作者: landice    时间: 2022-8-25 10:50

引用:
原帖由 alfredxi 于 2022-8-25 09:43 发表
posted by wap, platform: Chrome
我擦 这个怎么防?我单位感觉啥安全也没有,就装了360之类的
你们要是公司压根没有域控,就是独立的服务器和独立的电脑办公,很多时候反而没事,被攻击也就是几台机器的事情。
信息安全做的特别好的公司防范能力强也可以,
怕的就是那种半吊子的,又要上域控,又没有特别专业的防范能力。
作者: 瑞奇马丁    时间: 2022-8-25 11:56

mac 好像很少听说被勒索
作者: qieyifonger    时间: 2022-8-25 13:49

AD域现在风险太大了,传播勒索病毒的最佳架构,不加域反而没那么容易...
作者: alexchang2010    时间: 2022-8-25 15:25

吓得我退出了域,结果只能本地登陆了~原来域账号没了……我的个性化内容都没了……
作者: sssssale    时间: 2022-8-25 16:45

posted by wap, platform: Chrome
喷了,不加域 IT怎么管?
作者: landice    时间: 2022-8-25 17:11

引用:
原帖由 sssssale 于 2022-8-25 16:45 发表
posted by wap, platform: Chrome
喷了,不加域 IT怎么管?
传统域控下管理员的权限太大了,一旦被接管风险非常大,你要是一直保持维护在微软最新的域服务版本,有完善的IT管理机制也没事,但现在很多公司的所谓域控,弄个几年前的winserver2012或2016版本的机器就当域控服务器了,系统还不一定更新到最新,IT人员离职了没有完善的账号回收清理机制,一旦被暗网的黑客扫到那就是gg的命,现在国内这些有固定企业IP的一个公司,你让IT调取一下主路由的日志,可以看到每天被多少不明IP扫描或者尝试暴力皮角,很多都来自一些以前独联体涉及的区域。
其实不用域也可以管理的,一般的小企业,你买一个火绒杀毒之类的企业版服务,所有终端安装企业版火绒,IT管理员在内网服务端就可以自由查看每台机器的网络设置,安装的软件,网络行为这些都没问题,没特定需求没必要上域控。
作者: Crazylife    时间: 2022-8-25 17:22

posted by wap, platform: Android
引用:
原帖由 @landice  于 2022-8-25 17:11 发表
传统域控下管理员的权限太大了,一旦被接管风险非常大,你要是一直保持维护在微软最新的域服务版本,有完善的IT管理机制也没事,但现在很多公司的所谓域控,弄个几年前的winserver2012或2016版本的机器就当域控服务器了,系统还不一定更新到最新,IT人员离职了没有完善的账号回收清理机制,一旦被暗网的黑客扫到那就是gg的命,现在国内这些有固定企业IP的一个公司,你让IT调取一下主路由的日志,可以看到每天被多少不明IP扫描或者尝试暴力皮角,很多都来自一些以前独联体涉及的区域。
其实不用域也可以管理的,一般的小企业,你买一个火绒杀毒之类的企业版服务,所有终端安装企业版火绒,IT管理员在内网服务端就可以自由查看每台机器的网络设置,安装的软件,网络行为这些都没问题,没特定需求没必要上域控。
讲真,ad管不好,分散的机器就能管好了?

加域后至少能通过gpo把打补丁和装杀毒软件这两个安全关卡给强制了,顺便把一堆不安全的协议给禁了,那客户端安全性比起单机已经大大提高了。

域管理员账号被拿下是比单机中毒概率小的多的事件,至少攻击者要处心积虑才能拿下,脚本小子广撒网是搞不下ad的。反过来说,域管理员都被拿下了,那这个公司的网络已经千疮百孔了,你的电脑不加域,攻击者也有的是办法把你关键数据加密了来勒索你。就像刷副本,你都团灭了,你居然想我单刷是不是更好一点?
作者: landice    时间: 2022-8-25 17:34

引用:
原帖由 Crazylife 于 2022-8-25 17:22 发表
posted by wap, platform: Android
讲真,ad管不好,分散的机器就能管好了?

加域后至少能通过gpo把打补丁和装杀毒软件这两个安全关卡给强制了,顺便把一堆不安全的协议给禁了,那客户端安全性比起单机已经大大提 ...
道理都对,我讲的是实际操作的问题,域控管理员被接管确实是小概率事件,就好比飞机坠机,但一旦发生也是对整个公司破坏性最大的,甚至会直接造成企业停转,所以我前面几贴一直强调的都不是不能用域控,而是没有金刚钻别揽瓷器活,你如果懒,不愿意花资源维护,那就弄个企业版杀毒和防火墙简单监控一下客户端行为就完了,出了问题也是零散机器的问题。现状是,国内很多中小规模的公司,IT管理不规范的情况非常普遍,企业建立初期很认真的弄一套域控系统,几年以后就会疏于管理变成你说的那种千疮百孔的状态,这也是为啥近两年国内中招企业这么多的原因,光我在的这个小城市就有好几个。

[ 本帖最后由 landice 于 2022-8-25 17:36 编辑 ]
作者: Dogfight    时间: 2022-8-25 19:44

搜了下,应该是这个漏洞
https://www.bilibili.com/read/cv14416499/
本次披露的CVE-2021-42287/CVE-2021-42278 权限提升漏洞可将域内的任意用户提升至域管权限,对企业身份认证及相关数据资产造成了严重威胁。

这个补丁不打,只要被黑客访问到内网,那100%完蛋,随便找台普通电脑用户就能提权
作者: landice    时间: 2022-8-25 20:40

引用:
原帖由 Dogfight 于 2022-8-25 19:44 发表
搜了下,应该是这个漏洞
https://www.bilibili.com/read/cv14416499/
本次披露的CVE-2021-42287/CVE-2021-42278 权限提升漏洞可将域内的任意用户提升至域管权限,对企业身份认证及相关数据资产造成了严重威胁。

...
看了一下还真可能是,我提的那个提权案例是去年10月份的事情,那段时间很多企业被勒索,到12月其实很多企业已经中招过了,很多时候这种漏洞被黑客发现后,自己先玩一玩,玩够了再放出来让人修补。

[ 本帖最后由 landice 于 2022-8-25 20:43 编辑 ]




欢迎光临 TGFC Lifestyle (http://tgfcer.com/) Powered by Discuz! 6.0.0