9 月 21 日消息,Huntress 安全团队本周一披露了一起有趣的黑客攻击案例,其客户因安全意识不足而遭受 Akira 勒索组织入侵,给部分企业好好上了一课。
据称,该公司的某个工程师直接将其账户的 MFA 恢复代码以明文形式存储在桌面上的纯文本文件中,导致黑客通过 SonicWall 登陆后直接使用这一代码绕过 MFA,不费吹灰之力入侵了其主机。
Huntress 安全团队称,攻击者利用这些恢复代码进入 Huntress 门户后,关闭活跃的安全事件报告、取消隔离主机,甚至尝试卸载 Huntress 代理。
Huntress 方面发现安全工程师账户在处理告警后,与客户确认,得到的答复是相关操作并非工程师本人执行,从而才导致黑客暴露。
通过关闭告警,攻击者得以在受害环境中长时间隐藏活动,并尝试移除终端安全工具。同时,黑客还窃取了公司登陆凭据,冒充高权限用户维持持续访问,并在网络中投放勒索软件。
所以,类似的 MFA 恢复代码和凭据绝不应以明文方式存储。建议使用带有强密码短语的加密密码管理器,并禁用自动填充功能。
如果无法使用数字密码管理器,应将敏感信息存放在加密的 USB 或硬盘中,文件需额外设置密码保护。
如果有必要的话,安全维护人员应定期更换恢复代码,并监控日志中的异常登录行为,即便这些登录请求看似来自组织内部。
标签: 工程师
文章来源:
IT之家
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至23467321@qq.com举报,一经查实,本站将立刻删除;如已特别标注为本站原创文章的,转载时请以链接形式注明文章出处,谢谢!
