【年度回顾】2021年度AD域重大安全事件盘点

2021年已经结束，回顾2021安全事件，我们发现，针对Active Directory的攻击事件有明显的增长趋势。这其中，有的勒索软件组织已经停止运营，有些仍活跃在全球各地。过往发生的事件，无一例外都造成了严重的后果，这也在警示我们，安全无小事，内网防护要未雨绸缪。
本篇文章，中安网星整理了2021年与AD域相关的安全事件，按照关联性分为四个板块。下面让我们一起回顾下这些事件，“以史为鉴”，在新的2022年共同努力，加强企业安全建设，减少恶意软件带来的威胁。（以下内容为节选，部分信息来源于网络）

一、REvil的覆灭

2021年，最臭名昭著的勒索软件当属REvil。上半年的全球大型安全事件，1月的Dairy Farm，3月的哈里斯联盟，5月的JBS都是REvil造成的。而后，在以美国为首的国际执法机构的毁灭性围剿下，REvil销声匿迹。

1月：Dairy Farm 遭受 REvil 勒索软件攻击

大型泛亚零售连锁运营商Dairy Farm Group（牛奶公司控股）2021年1月遭到 REvil 勒索软件攻击。攻击者声称已索要 3000 万美元的赎金。为了证明他们可以访问Dairy Farm网络，攻击者分享了Active Directory用户和计算机MMC的屏幕截图。

3月：勒索软件攻击关闭了哈里斯联盟

哈里斯联盟是一家总部位于英国的教育慈善机构，运营着 50 所中小学，遭遇REvil勒索软件攻击，导致其电子邮件和电话系统瘫痪。英国国家网络安全中心警告称，勒索软件的攻击主要针对远程信息系统（RDP）和虚拟专用网络（VPN），由于新冠期间远程信息设备的使用增加，内网中存在较多错误的身份配置和弱密码，因此被攻击者利用。
5月：JBS肉类生产商向 REvil 勒索软件集团支付1100万美元

JBS 向 REvil 勒索软件集团支付了 1100 万美元，用于解密 5 月下旬在网络攻击中受损的文件。JBS 官员说，他们只需要解密器来恢复几个数据库——其余的数据是从备份中恢复的。在谈判进行期间，JBS 被迫关闭了一些食品生产基地。
6月：FujiFilm 网络在勒索软件攻击中遭到破坏

日本企业集团 FujiFilm 在其网络感染 Qbot 恶意软件后，于 6 月初被迫部分关闭业务，该恶意软件目前正被 REvil 勒索软件组织使用。Qbot 恶意软件可以远程访问受感染的网络，为整个环境中的横向移动和数据加密铺平了道路。

10月：REvil 活动受国际执法机构限制，基本关停10月份，包括美国执法机构在内的国际政府实体已经关闭了 REvil 的网站和网络基础设施，REvil 是一个臭名昭著的勒索软件组织，又名Sodinokibi，曾入侵并发布了MacBook 的原理图，被称为最具统治力和破坏性的勒索软件之一。今年的5月30日，REvil对肉类加工巨头JBS发动攻击；7月2日，对远程管理软件公司Kaseya 再次发动攻击，而后遭到美国政府的及国际执法机构的毁灭性打击，自7月13日起托管至暗网。在后续的新闻中，暗网及博客也已停止运营，多名团队成员已落网。

二、Conti造成多起安全事件

另一大勒索软件——Conti，在2021年的活跃度也非常高，仅次于REvil，攻击范围覆盖场景众多，包括医疗系统、教育系统等，12月的Log4j漏洞也被其利用。Conti至今仍在运营。

3月：Conti攻击组织建议受害者审查 AD 政策

在索要 200 万美元赎金后，攻击组织 Conti 建议其受害者时尚零售商 FatFace 审查其 Active Directory 密码策略。Conti 还建议 FatFace 实施其他预防措施，例如实施电子邮件过滤、进行员工网络钓鱼测试、投资于更好的端点检测和响应技术，以及实施离线存储和基于磁带的备份。该组织通过网络钓鱼攻击获得了 FatFace 网络的访问权限，获得了一般管理权限，并从备份服务器和存储设备中提取了数据。

4月：Conti集团袭击佛罗里达州布劳沃德县的学校

Conti 集团对佛罗里达州布劳沃德县学区进行入侵，据调查，Conti很可能使用通过网络钓鱼窃取的凭据来窃取学生和员工信息，并用恶意软件感染该学区的信息系统。

8月：诺基亚子公司遭受 Conti 勒索软件攻击

自6月16日起，诺基亚子公司 SAC Wireless 遭到 Conti 集团的勒索软件攻击，直至8月13日，在外部网络安全专家的帮助下确认了影响范围。这次攻击，破坏了SAC系统的网络，窃取了大量数据，甚至加密了SAC的内部系统。这次攻击促使该公司加强系统访问策略，并扩大多因素身份验证 (MFA) 的要求，部署了额外的网络和端点检测工具，也采取了其他的如提供额外的员工培训等补救措施。但据Conti团伙透露，他们仍窃取了超过250GB的数据，包括员工及其家人的个人信息。

9月：美国政府的联合咨询警告称Conti勒索软件对集团袭击事件增加

自今年5月份以来，Conti勒索软件已经袭击了包括爱尔兰医疗保健系统、美国医疗保健和急救系统在内的 400 多家国外组织，在攻击频率上仅次于REvil勒索软件。
美国网络安全和基础设施安全局 (CISA)、FBI 和国家安全局于9月发布联合声明，敦促组织通过修补已知漏洞（包括Active Directory域控制器系统中的Zerologon漏洞）来防范 Conti 勒索软件组的后续攻击。警报最后还提到，各组织可以通过更新操作系统、应用多因素身份验证等方式抵御Conti勒索软件的冲击。在Conti勒索软件造成的攻击事件中，攻击者的主要目标是获取对组织网络的访问权限，攻击者部署勒索软件时，通常以横向移动、提权等方式展开攻击，从而获取AD的管理员权限甚至域控权限。

12月：Conti 勒索软件将 Log4j 漏洞武器化

俄罗斯的 Conti 集团基于 12 月发现的 Apache 日志库中的 Log4j 漏洞开发了一个综合攻击链。攻击方法包括 Kerberoasting，它从 Active Directory 中提取服务帐户凭据。最大的人力资源软件公司之一Kronos 遭到勒索软件攻击，怀疑存在 Log4j 漏洞，该攻击破坏了包括纽约大都会交通管理局 (MTA) 和许多医院在内的组织的工资系统。

三、微软修复多项漏洞

2021年对于微软而言并不算太平，一直都在“漏洞被利用-漏洞被曝光-修复漏洞”的过程中，建议尽快更新补丁以提前防范。

7月：微软修复了数个与身份相关的漏洞

7月，微软发布了一系列警告、补丁和解决方案，其中微软修复了一部分与身份相关的漏洞，包括针对 Windows 域控制器的PetitPotam 攻击漏洞、一个关键的PowerShell 7代码执行漏洞以及SeriousSam漏洞。微软还在Microsoft Defender身份认证中添加了PrintNightmare 检测，并在 Microsoft Defender 中为安全运营团队添加了锁定受感染用户的 Active Directory 帐户的功能。

11月：ProxyShell 导致全域勒索软件攻击

ProxyShell是 7 月份披露的三个 Microsoft Exchange Server 漏洞的名称，它们共同点为能够进行权限提升和远程代码执行。根据 DBIR 报告，未打补丁的 Exchange Server 客户遭受了勒索软件攻击，该攻击利用了未打补丁的漏洞并最终导致全域范围的攻击。报告称，此次攻击不涉及任何勒索软件即服务工具，并且“几乎没有使用恶意软件”。

12月：建议修补和其他措施以解决 Active Directory 漏洞

在2021年11月的补丁星期二发布针对两个 Active Directory 漏洞的安全补丁后，微软于 12 月 20 日敦促客户立即应用补丁，以防止攻击者接管 Windows 域。除了修补之外，组织还可以采取其他措施来防止未经授权创建可能导致特权升级和攻击的帐户。

四、其他勒索软件

除了REvil和Conti这两位“大哥”，其他恶意软件的危害也不可忽视，时不时就会搞个大新闻。

5月：MountLocker利用 Windows Active Directory API入侵

根据Bleeping Computer的一份报告，勒索软件 MountLocker 现在使用 Windows Active Directory API 来入侵网络。在使用 API 连接到受害者的 AD 服务后，MountLocker 攻击者可以在受感染域中找到设备并使用窃取的域凭据对其进行加密。

6月：AvosLocker 使用 DC 漏洞向受害者发送恶意软件 

6月份出现了一个新的勒索软件组织 AvosLocker ，以易受攻击的域控制器为目标，进攻后进入信息系统并向受害者（包括美国俄亥俄州日内瓦市）发送恶意软件。该组织在暗网发布广告寻求其他人加入其业务或充当附属机构，宣布招聘“具有 Active Directory 网络经验的渗透测试人员’和‘访问代理’”。比较特别的是，AvosLocker是由攻击者手动运行的。

8月：Hive 勒索软件关闭健康卫生系统触发 FBI 警报

Hive是2021年6月份首次出现的附属运营勒索软件，在FBI的描述中，它部署了“多种机制来破坏商业网络，包括带有恶意附件的网络钓鱼电子邮件以获取访问权限和远程桌面协议在网络上横向移动”。FBI在8月份正式对外发出警报，并公布了俄亥俄州和弗雷吉尼亚州被Hive勒索系统入侵了健康卫生系统的集团列表，多家医院因为系统问题导致手术推迟或病人被迫转院。Hive 使用 ConnectWise 等远程管理软件来渗透系统并获取持续权限，然后部署 ADRecon 等工具来映射 Active Directory 环境。尽管大多数系统在攻击后通过修复手段恢复运营，但是针对AD环境发起的勒索攻击已经实际威胁到医疗、能源、电力等众多关键基础设施领域，该事件中医疗卫生系统所遭受到的严重影响，也为国内关键基础设施领域的网络安全防护建设敲响了警钟。

9月：LockBit运营组通过新的AD部署技术重新活跃于网络

2021年初，LockBit勒索软件被关停，在执法部门的“制裁”下，LockBit的影响放缓。但自6月份以来，LockBit服务小组发布招募公告，宣称已通过扩展的附属计划和架构转变恢复运营，更新至2.0版本，还推出了一种新的通过组策略自动向 Active Directory 客户端传送对象 (GPO)的部署方法。该软件在 Active Directory 域控制器上执行时，LockBit 2.0 会创建多个 GPO 来执行感染过程。同时会自动更改Windows Defender 配置防止被检测。LockBit2.0会刷新网络共享，停止部分本地服务并终止进程，然后将 LockBit 可执行文件复制到客户端桌面目录中并执行。截止目前，LockBit2.0的影响逐渐扩散到全球。企业可通过攻防演练、加强身份认证、加固内网防护等方式提前预防，另外可通过渗透测试修补可能影响的漏洞。

本次盘点的内容，在2021年发生的所有安全事件中只是冰山一角。医院、学校、电视台、燃气管道……难以计数的组织在过去一年里受到了攻击者不同程度的入侵，现有的防护可能还不足以应对所有的威胁，我们仍需要引起重视，主动出击，提升安全防护能力，防患于未然。

END

智域—是中安网星研发的一款针对域的安全管理产品，适用基于WINDOWS AD域构建的企业内网。作为企业内部安全防线的核心环节，检测能力覆盖内网攻击杀伤链全部维度及大部分手法，可辅助企业建立域环境的整体安全防护体系，提高应对针对公司级别高级攻击活动的感知与预警能力。长按识别二维码，关注AD域安全防护解决方案