在网络安全领域,将攻击者 “逐出网络” 往往并不代表事件终结。《DFIR Report》发布的最新案例显示,某企业因Apache ActiveMQ 高危漏洞未修复,被攻击者先后两次入侵,即便首次成功驱逐入侵者,最终仍遭 LockBit 勒索软件 加密。
入侵事件始于 2024 年 2 月中旬,攻击者针对一台暴露在公网的 Apache ActiveMQ 服务器发起攻击,所利用漏洞为 CVE-2023-46604,这是一个高危远程代码执行(RCE)漏洞,现已成为勒索组织最常用的突破口之一。
报告指出:“攻击者通过 Java Spring 类与自定义的 Spring Bean 配置 XML 文件,成功实现远程代码执行。”
攻击者借助 Windows 自带的 CertUtil 工具,从远程服务器下载恶意 XML 文件与攻击载荷,拿下第一处立足点。
尽管企业安全团队在首次入侵后发现并驱逐了攻击者,但并未修补该漏洞。
研究人员提到:“首次入侵被清理后,攻击者在 18 天后再次攻破同一台服务器,入侵成功。”
而这第二次入侵,直接开启了快速攻击链。
获得新的控制权后,攻击者使用 Metasploit 和 Meterpreter 进一步深入内网,成功提权,读取 LSASS 进程内存窃取凭证,并在内网中横向移动。
在完成网络拓扑探测与凭证收集后,攻击者 “迅速部署勒索软件”。
他们通过 远程桌面协议(RDP) 和窃取到的账号密码,在全网范围内分发加密载荷。
此次使用的勒索软件为 LockBit Black(即 LockBit 3.0) 变种。
调查人员判断,作案者更可能是独立攻击者,而非官方 LockBit 核心团伙。
报告提到:“勒索信并未采用标准 LockBit 格式,未指引受害者访问 Tor 泄密站点或通过 TOX/Jabber 沟通,而是要求其使用 Session 私密通讯软件。”
据此研究人员判断,此次攻击是 “独立威胁分子利用泄露的勒索生成器,自行发起的攻击活动”。
攻击者还在勒索信中使用了颇为 “专业” 的话术试图降低对抗情绪:
“相比其他勒索软件,我们收费低得多,别舍不得!”
甚至还把 “安全审计” 打包进赎金服务:
“我们会告诉你入侵所用的服务器漏洞,我们诚信经营!”
整个事件的核心教训十分清晰:
企业虽然 “赶走了” 攻击者,但根本漏洞 —— 未打补丁的公网 ActiveMQ 服务器依然存在,导致不到三周就被一模一样的方式再次入侵。
报告强烈建议各类机构:
必须优先修补暴露在公网的应用,并清醒认识到:
在漏洞彻底修复前,任何 “驱逐攻击者” 的操作都只是临时措施。
发表评论
您还未登录,请先登录。
登录