您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

恶意程序 IcedID 来袭,通过 DCSync 攻击窃取AD域控的凭据

时间:2023-01-17 13:23:32  来源:  作者:极牛网

在最近的网络安全观察中发现,恶意软件 IcedID 的攻击可以使攻击者在获得初始访问权限后不到 24 小时内破坏目标的AD(Active Directory )域控,在整个攻击过程中,攻击者遵循了侦察命令、凭证盗窃、滥用 windows 协议横向移动以及在新受感染的主机上执行 Cobalt Strike 的例行程序。


 

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,IcedID,也被称为 BokBot,于 2017 年开始作为银行木马,之后演变为其他恶意软件的植入程序,加入了Emotet、TrickBot、Qakbot、Bumblebee和Raspberry Robin等恶意软件的行列。

在分发部署 IcedID 的攻击利用了多种方法,尤其是在微软决定阻止从 Web 下载的 office 文件中使用宏之后。

因为感染链始于 ZIP 存档中包含的 ISO 映像文件,最终执行 IcedID 有效负载。然后,恶意软件通过计划任务在主机上建立持久性,并与远程服务器通信以下载下一阶段的有效载荷,包括用于后续侦察活动的 Cobalt Strike Beacon。

它还通过网络进行横向移动,并在所有这些工作站中执行相同的 Cobalt Strike Beacon,然后继续安装 Atera 代理,这是一种合法的远程管理工具,作为备用的远程访问机制。

极牛攻防实验室表示,利用这样的 IT 工具,攻击者可以在他们的初始持久性机制被发现并修复的情况下为自己创建一个额外的后门,这些工具不太可能被防病毒或 EDR 检测到,也更有可能被误报。


 

Cobalt Strike Beacon 还被用作下载名为 Rubeus 的 C# 工具的管道,用于凭证窃取,最终允许攻击者横向移动到具有域控管理员权限的 Windows Server服务器。

然后将提升的权限武器化以发起 DCSync 攻击,从而允许对手模拟域控制器 ( DC ) 的行为并从其他域控制器检索凭据。

作为攻击的一部分使用的其他工具包括一个名为.NETscan.exe 的合法实用程序,用于扫描网络以进行横向移动,以及 rclone 文件同步软件,用于将感兴趣的目录泄露给 MEGA 云存储服务。

安全研究人员在对 IcedID 使用的 BackConnect (BC) 协议进行了深入研究后,发现了许多入侵后的附加功能,包括提供远程访问控制的 VNC 模块等。



Tags:恶意程序   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
在最近的网络安全观察中发现,恶意软件 IcedID 的攻击可以使攻击者在获得初始访问权限后不到 24 小时内破坏目标的AD(Active Directory )域控,在整个攻击过程中,攻击者遵循了侦察...【详细内容】
2023-01-17  Tags: 恶意程序  点击:(0)  评论:(0)  加入收藏
小心!黑客以假凭证过期通知散布恶意程序恶意软件假冒合法软件骗取用户上钩时有所闻,像是谎称成新版浏览器或新版Adobe Flash Player,让造访被骇网站的用户不疑有他下载。安全厂...【详细内容】
2020-03-10  Tags: 恶意程序  点击:(140)  评论:(0)  加入收藏
黑客攻击手法不断翻新。近日安全厂商发现,WAV音讯档也可以被用来散布恶意程式。过去黑客经常将恶意程式藏在非文件档案中,像是图档中散布,这种攻击手法称为图像隐码术(Steganogr...【详细内容】
2019-10-18  Tags: 恶意程序  点击:(449)  评论:(0)  加入收藏
来源:经济参考报记者 周润健 天津报道 记者近日从国家互联网应急中心天津分中心获悉,通过自主监测和样本交换形式,学生升学资料等100个窃取用户个人信息的恶意程序变种近日被发...【详细内容】
2019-06-14  Tags: 恶意程序  点击:(551)  评论:(0)  加入收藏
▌简易百科推荐
根据行业媒体的报道,由于担心ChatGPT这款强大的聊天机器人可能被用于犯罪活动,OpenAI对一些国家和地区的应用进行了限制。但研究发现,来自俄罗斯的一些网络犯罪分子为了采用Cha...【详细内容】
2023-01-18  极客网     Tags:OpenAI   点击:(1)  评论:(0)  加入收藏
在最近的网络安全观察中发现,恶意软件 IcedID 的攻击可以使攻击者在获得初始访问权限后不到 24 小时内破坏目标的AD(Active Directory )域控,在整个攻击过程中,攻击者遵循了侦察...【详细内容】
2023-01-17  极牛网     Tags:恶意程序   点击:(0)  评论:(0)  加入收藏
PyTorch机器学习框架遭遇恶意依赖供应链链攻击。与Keras 和 TensorFlow类似,PyTorch是基于Python的开源机器学习框架。PyTorch广泛用于计算机视觉和自然语言处理任务。12月31...【详细内容】
2023-01-08  嘶吼RoarTalk     Tags:供应链攻击   点击:(5)  评论:(0)  加入收藏
随着对技术的依赖不断增加,我们对技术的信任也在随之增加。如今,我们习惯将自己的私人数据委托给各种在线平台,如银行账户、电子商务零售商、加密货币交易所和电子邮件服务提...【详细内容】
2022-12-27  嘶吼RoarTalk     Tags:隐私   点击:(18)  评论:(0)  加入收藏
远程工作模式日渐盛行,新冠疫情促使在线商务如火如荼,随着企业继续应对与这两个因素相关的网络威胁,网络安全已上升到企业议程的首位。据知名调研公司Gartner的研究显示,88%的董...【详细内容】
2022-12-24  嘶吼RoarTalk     Tags:网络安全   点击:(16)  评论:(0)  加入收藏
0day多伦多Pwn2Own黑客大赛展示了针对消费科技产品的 63 次0day攻击,参赛者收入 989,750 美元。 在这次黑客竞赛中,26 个团队和安全研究人员将目标设备设在手机、家庭自动化集...【详细内容】
2022-12-19  安全圈    Tags:漏洞   点击:(38)  评论:(0)  加入收藏
《华尔街日报》12月7日消息,苹果公司计划大幅扩大其数据加密做法,在该公司继续为数百万iPhone用户建立新的隐私保护措施之际,此举可能会与世界各地的执法部门和政府产生摩擦。...【详细内容】
2022-12-08   界面新闻     Tags:黑客   点击:(28)  评论:(0)  加入收藏
最近安全专家在研究中发现有多个恶意的Chrome扩展插件和浏览器劫机者(Browser Hijackers)感染了超过200万用户。浏览器劫机者是一种不受欢迎的程序,它在没有用户许可的情况下...【详细内容】
2022-11-24  血超级厚的土豆  今日头条  Tags:黑色产业链   点击:(37)  评论:(0)  加入收藏
11月11日,在FTX宣布破产数小时后,FTX的APP在深夜遭到攻击,超过6亿美元从FTX的加密钱包中被盗走。随后,FTX官方确认它已被入侵,指示用户不要安装任何新升级并删除所有FTX应用程序。...【详细内容】
2022-11-15  界面新闻    Tags:FTX   点击:(61)  评论:(0)  加入收藏
据央视新闻报道,当地时间24日,韩国国防部发布消息称,韩国军队当天首次参加美国主导的“网络旗帜”多国联合网络攻防演习。报道称,该演习在美国弗吉尼亚州举行,韩军网络作战司令部...【详细内容】
2022-10-25    北京日报客户端  Tags:网络战   点击:(44)  评论:(0)  加入收藏
站内最新
站内热门
站内头条