近日，Cofense发现了一次专门针对美国能源公司的网络钓鱼攻击活动，攻击者利用二维码将恶意电子邮件塞进收件箱并绕过安全系统。 Cofense 方面表示，这是首次发现网络钓鱼行为者如此大规模的使用二维码进行钓鱼攻击，这表明他们可能正在测试用二维码作为攻击载体的有效性。 在归因于该活动的 1,000 封电子邮件中，约有三分之一（29%）是针对美国一家大型能源公司的，其余的则是针对制造业（15%）、保险业（9%）、科技业（7%）和金融服务业（6%）的公司。 不过Cofense 并没有透露此次活动的目标能源公司具体名称，只将其归类为美国的一家 “大型 “公司。 二维码钓鱼活动 来源：Cofense Cofense 网络钓鱼中的二维码 Cofense 方面称，攻击开始时会先发送一封钓鱼电子邮件，提醒收件人必须尽快更新其 Microsoft 365 帐户设置。邮件中的 PNG 或 PDF 附件会带有二维码，收件人会被提示扫描以验证其账户。为了增加紧迫感，邮件还指出收件人必须在 2-3 天内完成这一步骤。 网络钓鱼电子邮件样本 来源：Cofense Cofense 威胁行为者使用嵌入在图片中的 QR 代码绕过电子邮件安全工具，这些工具会扫描邮件中的已知恶意链接，从而使网络钓鱼邮件到达目标收件箱。 为了规避安全问题，钓鱼活动中的 QR 代码还使用了必应、Salesforce 和 Cloudflare 的 Web3 服务中的重定向功能，将目标重定向到 Microsoft 365 钓鱼页面。 在 QR 代码中隐藏重定向 URL、滥用合法服务以及为钓鱼链接使用 base64 编码都有助于逃避检测和通过电子邮件保护过滤器。 重定向 URL 示例（Cofense） 网络犯罪分子利用二维码窃取凭证和财务信息 QR 码过去也曾被攻击者用于其在法国和德国的网络钓鱼活动，尽管规模较小。此外，这些诈骗者还利用二维码诱骗人们扫描，并将他们重定向到恶意网站，试图窃取他们的钱财。 2022 年 1 月，美国联邦调查局警告称，网络犯罪分子越来越多地利用二维码窃取凭证和财务信息。尽管二维码能有效绕过保护措施，但它仍然需要受害者采取行动才能被破解，这是一个有利于训练有素人员的决定性缓解因素。 此外，现代智能手机上的大多数二维码扫描器都会要求用户在启动浏览器前验证目标 URL，以此作为保护措施。 除培训外，Cofense 还建议企业使用图像识别工具作为其网络钓鱼防护措施的一部分，尽管这些工具不能保证捕捉到所有 QR 代码威胁。     转自Freebuf，原文链接:https://www.freebuf.com/news/375201.html 封面来源于网络，如有侵权请联系删除

据网络安全供应商Cyberint的研究团队发现，近期LinkedIn 正成为一波黑客攻击的目标，许多帐户出于安全原因被锁定或劫持。 Cyberint发现，最近几周，已有多位LinkedIn用户表示自己的账号被黑，并通过不同的社交媒体平台寻求帮助。这一现象也反映在谷歌的搜索趋势中，有关 LinkedIn 帐户被盗或需要恢复的搜索词在过去几个月中暴涨了50倍。 谷歌上关于LinkedIn账户被盗的搜索趋势暴涨 而根据BleepingComputer在 Reddit、Twitter和Microsoft 论坛上看到的相关帖子，反映出可能由于请求恢复账号的需求过多的原因，有大量受影响的用户还未得到任何帮助，有用户在Twitter上直接私信LinkedIn的帮助与支持账号，也都没有得到任何回应。 来自X（Twitter）的部分用户反馈 Cyberint 的研究员 Coral Tayar 表示，有用户甚至被迫支付赎金才能重新获得控制权，否则面临账户被永久删除的情况。 研究显示，攻击者似乎正在使用泄露的凭证或暴力破解来尝试窃取大量 LinkedIn 帐户。对于受到强密码或双因素身份验证保护的帐户，多次错误的登录尝试会触发平台的帐户锁定机制，系统会提示这些帐户的所有者通过提供附加信息来验证所有权，并在再次登录之前更新账户密码。 而当攻击者成功窃取到那些保护措施不力的 LinkedIn 帐户时，他们会迅速将关联的电子邮件地址与“rambler.ru”服务中的电子邮件地址进行交换。 随后，攻击者会更改账户密码，阻止原持有者访问其账户。许多用户还报告称，攻击者还在窃取账户后开启了双因素身份验证，使得账户恢复过程变得更加困难。 在 Cyberint 观察到的某些情况下，攻击者会在索要到小额赎金后，将帐户归还给原始用户，或者在没有提出任何要求的情况下直接删除帐户。 据悉，这已不是LinkedIn第一次被黑客盯上。2021年4月，一个据称包含5亿个LinkedIn用户个人资料的数据档案就曾在某黑客论坛上出售；2012年，超1亿LinkedIn用户账号登录信息被盗，并被黑客于2016年将这些数据以两千美元贱卖。 如今，LinkedIn 帐户对于社会工程、网络钓鱼和工作机会诈骗非常有价值，尤其是在LinkedIn 引入了打击平台上虚假个人资料和不真实行为的功能之后，窃取现有帐户对于黑客来说变得更加务实。 对于LinkedIn用户，建议检查已激活的安全措施，设置强密码并启用双因素身份验证来尽量确保账户安全。     转自Freebuf，原文链接:https://www.freebuf.com/news/375032.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在过去的六个月里，利用Cloudflare R2托管网络钓鱼页面的攻击者增加了61倍。 Netskope安全研究员Jan Michael说:“大多数网络钓鱼活动的目标是微软的登录凭证，尽管也有一些页面针对Adobe、Dropbox和其他云应用程序。” Cloudflare R2类似于Amazon Web Service S3、Google Cloud Storage和Azure Blob Storage，是一种面向云的数据存储服务。 与此同时，恶意软件下载的云应用总数已增至167个，其中微软OneDrive、Squarespace、GitHub、SharePoint和Weebly占据了前五名。 Netskope发现网络钓鱼活动不仅滥用Cloudflare R2来分发静态网络钓鱼页面，而且还利用该公司的Turnstile产品(CAPTCHA替代品)，将此类页面放置在反机器人屏障后面以逃避检测。由于CAPTCHA测试失效，这样做可以防止像urlscan这样的在线扫描程序到达实际的网络钓鱼站点。作为规避检测的附加层，恶意站点被设计为仅在满足某些条件时加载内容。 “恶意网站要求引用网站在URL中的散列符号后面包含时间戳，以显示实际的网络钓鱼页面，”Michael说。“另一方面，引用网站需要将网络钓鱼网站作为参数传递给它。” 如果没有传递URL参数到引用站点，访问者将被重定向到www.google[.]com。 一个月前，这家网络安全公司披露了一场网络钓鱼活动的细节。黑客在AWS Amplify上托管虚假登录页面，窃取用户的银行和微软365凭证，还通过Telegram的Bot API窃取银行卡支付细节。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

德国联邦宪法保护办公室（BfV）警告称，APT组织Charming Kitten针对该国中对伊朗持不同政见的组织和个人。 2014年，iSight的专家发布了一份报告，描述了伊朗黑客利用社交媒体进行的最复杂的网络间谍活动，Charming Kitten组织成为头条新闻。 微软自2013年以来一直在追踪威胁行为体，但专家认为，该网络间谍组织至少自2011年以来一直活跃，目标是中东的记者和活动人士、美国的组织以及英国、以色列、伊拉克和沙特阿拉伯的实体。 2022年，几家IT安全服务提供商报告了APT集团中的魅力小猫Charming Kitten，据说该集团参与调查伊朗反对派人士和伊朗流亡者。网络攻击主要针对伊朗内外的持不同政见组织和个人，如律师、记者和记者或人权活动家。 网络间谍利用社交媒体收集目标信息，并作为社会工程攻击的载体。国家资助的黑客使用虚假的个人信息与受害者取得联系，并建立关系，使他们能够向目标妥协。一旦与受害者建立了融洽的关系，黑客就会向他们发送信息，其中包含一个指向网络钓鱼页面的在线聊天链接。产生个人接触后，受害者通过社会工程受到操纵，并被虚假承诺误导，并且一旦对话建立起来，黑客就会发出在线视频聊天的邀请。为了参与视频聊天，受害者必须点击攻击者的nt。在登录掩码中，受害者输入他们的登录数据，并允许攻击者访问他们使用的在线服务。 经过预先进行的社会工程，Charming Kitten可以有针对性地建立一种看似无害的联系，因为这个群体指的是受害者认识的人，或者是受害者认为合乎逻辑的话题。 CERTFA（波斯语计算机应急小组）在2022年发布的一份报告中详细介绍了与伊朗有关联的APT组织相关的TTP，CERTFA是一个匿名团体，负责监控伊朗网络犯罪分子和民族国家行为者针对世界各地伊朗公民进行的攻击。情报官员认为，德黑兰政府追踪到的伊朗异见人士可能会被该政权杀害。     转自E安全，原文链接:https://mp.weixin.qq.com/s/9MTMFJxKAEZgB_Dg-TjQ_g 封面来源于网络，如有侵权请联系删除

威胁情报公司Hudson Rock的安全研究人员近日发现12万台感染信息窃取恶意软件的计算机包含网络犯罪论坛的账户凭据，这些计算机大多属于黑客。 尽管大量黑客也像普通用户一样感染了信息窃取恶意软件，但通过分析数据，研究人员发现，黑客论坛的登录密码通常比用于政府网站的登录密码更为安全。 黑客同样面临安全威胁 在浏览了100个网络犯罪论坛后，Rock发现，很多黑客使用的计算机无意中感染了信息窃取恶意软件，导致他们的登录信息被盗。 Hudson Rock从公开的泄漏信息以及直接来自攻击者的信息窃取软件日志中收集了信息。结果发现被感染的计算机中有10万台属于黑客，已经泄露的网络犯罪论坛凭据数量超过了14万个。 信息窃取软件是一种恶意软件，它会在计算机上的特定位置搜索登录信息。常见的目标是网络浏览器，因为它们具有自动填充和密码存储功能。 Hudson Rock首席技术官Alon Gal指出：“世界各地的黑客通过推广假冒软件或通过YouTube教程引导受害者下载受感染的软件来伺机感染计算机。”那些受骗的人中有不少黑客（可能是技术水平较低的黑客），他们就像其他试图走捷径的用户一样被感染了。 通过查看信息窃取软件日志数据，研究者确定被感染用户很多都是黑客，或者至少是黑客技术爱好者，暴露的个人真实身份信息如下： 在计算机上找到的其他凭据（其他电子邮件、用户名） （浏览器）自动填写的包含个人信息的数据（姓名、地址、电话号码） 系统信息（计算机名称、IP地址） 在之前的博客文章中，Hudson Rock透露一个名为La Citrix的知名黑客也意外感染了窃取信息的恶意软件，该黑客以向公司出售Citrix/VPN/RDP访问权限而闻名。 通过分析日志数据，Hudson Rock确定超过5.7万名受感染的用户拥有新兴网络犯罪分子社区Nulled[.]to的帐户（上图）。 研究人员发现，BreachForums的用户密码强度最高（下图），超过40%的凭据长度至少为10个字符，并包含四种类型的字符。 研究人员还发现，网络犯罪论坛的登录凭据通常比政府网站的登录凭据更强，尽管差异并不大。 据Hudson Rock介绍，大多数感染使用了以下三个信息窃取软件之一（这也恰好是许多黑客的热门选择）：RedLine、Raccoon和Azorult。 目前，大量的初始访问攻击都是从信息窃取软件开始的，用于收集攻击者冒充合法用户所需的所有数据，通常称为系统指纹。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/_HwqiPOZ4X79n1LqHmx2MA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 两名安全研究人员针对网络罪犯建立了一个蜜罐，对网络攻击进行了三年的追踪，得到了超过2万次的会话。他们描述了黑客的5个主要类别。 蜜罐揭示了黑客如何安装恶意软件、挖掘加密货币、滥用服务器进行DDoS攻击以及实施欺诈活动。 根据GoSecure发布的报告，两名研究人员、一名工程师和一名犯罪数据科学家收集了超过1.9亿次事件、100小时的视频片段和470个攻击者使用的文件，所有这些都来自20,000个远程桌面协议(RDP)连接捕获。以上种种都是在三年观察期内发生的。 RDP是网络罪犯(包括勒索软件组织)使用的关键攻击媒介。 为了研究网络攻击，研究人员创建了一个开源的RDP拦截工具。这个名为PyRDP的工具具有“无与伦比的屏幕、键盘、鼠标、剪贴板和文件收集功能”。 他们利用收集到的数据将机会主义攻击者分成不同的组。描述不同类型的攻击者可以让我们集中注意，了解最流行的操作方式和更复杂的威胁。 “报告展示了RDP的巨大能力，不仅有利于研究，也有利于执法部门和蓝队的作业。执法部门可以合法地拦截勒索软件组织使用的RDP环境，并在记录会话中收集情报，以供调查使用。”研究人员写道。 另一方面，网络安全防御团队可以使用妥协指标(表明潜在安全漏洞或恶意活动的证据)来进一步保护他们的组织。蜜罐不仅提供了对各种攻击者的间谍技术的看法，也可能放慢他们的脚步，吓唬他们改变策略。这将影响对其行为的成本效益分析，从而使每个人都受益。 研究人员承诺:“在接下来的几个月里，我们将在攻击者的武器博客系列文章中详细介绍不同黑客使用的工具。” 为了描述五种类型的攻击者，他们使用了流行游戏《龙与地下城》中的类别: 骑兵：探索所有计算机文件夹、检查网络和主机性能特征，并通过单击或程序/脚本来运行侦察。游骑兵不采取其他有意义的行动。研究人员写道:“我们的假设是，他们正在评估他们所攻击的系统，以便攻击者的另一个配置文件稍后返回运行。” 盗贼：将获得的RDP通道货币化。在控制计算机之后，他们更改凭据并执行不同的活动来实施访问权。为了获得一些有价值的东西，盗贼们使用诸如traffmonetizer(代理软件)、货币化浏览器(参与付费冲浪计划)、加密矿工，Android模拟器(移动欺诈)等工具。 野蛮人：使用大量的工具来暴力入侵更多的计算机。对他们来说，一个被破坏的系统是破坏其他系统的工具。它们处理IP地址、用户名和密码的列表。 巫师：这类攻击者关心他们的操作安全。巫师使用RDP访问作为门户，连接到以类似方式受损的另一台计算机。他们跳过被入侵的主机来隐藏自己的身份。“为了做到这一点，他们会小心翼翼地生活在系统中，展示了高水平的技能。监控和洞悉这些攻击者的行动对于威胁情报收集至关重要。这使得防御者和研究人员能够深入到受损的基础设施中。” 游吟诗人：缺乏明显的黑客技能并不能阻止那些想成为黑客的人。游吟诗人利用受损系统来完成一些基本的任务，比如通过简单的谷歌搜索寻找病毒或观看色情内容。 “证据显示，他们可能从破坏系统的人那里购买了RDP访问权限，也就是初始访问代理(IABs)。”     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

在快速变化的网络威胁世界中，了解最新变化和模式至关重要。这对于勒索软件来说尤其如此，它以快速变化和复杂的策略而闻名。今年8月，我们在SentinelOne的MDR团队偶然发现了一些异常情况：新的LOLKEK实例，也被称为GlobeImposter，表明这个长期存在的勒索软件家族正在进行新的改变。 LOLKEK，也被称为 GlobeImposter，于2016年首次亮相。在快节奏的勒索软件世界里，事件瞬息万变，而Maze ransomware于 2019年才再次被看见。GlobeImposter标签很巧妙地描述了这种新的勒索软件是如何模仿Globe的。 LOLKEK可以被认为是一种“现成的”勒索软件，其经常会进行迭代更新。尤其是在目标选择和勒索要求方面要求相对较低，如在最近的攻击中，勒索金额通常低于2000美元。相比之下，像Cl0p、LockBit和Royal这样的重量级勒索软件要求的赎金数额令人瞠目结舌。 LOLKEK的主要目标是中小型企业(smb)和个人用户。尽管如此，有时这种勒索软件也会在更复杂、更有计划的金融攻击中发挥作用。以2017年为例，臭名昭著的TA505(也被称为G0092，GOLD TAHOE)集团开始雇用GlobeImposter进行系列行为。 这扩大了他们的网络，提高他们的运作能力，也展示了LOLKEK在更广泛的勒索软件领域的适应性和作用。 本文将带您探索最近的LOLKEK有效载荷，重点介绍关键特性、策略更改以及对IOC指标的观察。我们还将强调一个持续存在的OPSEC错误，该错误不断泄露勒索软件运营商的游戏。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3005/ 消息来源：sentinelone，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近期，来自加拿大多伦多大学公民实验室的研究人员在国内热门输入法——搜狗输入法的加密系统中发现了漏洞，能允许网络监听者破译用户的输入内容。目前该漏洞已得到修复。 研究人员发现漏洞的软件版本涉及三大主流系统，分别是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本，其内部定制的EncryptWall加密系统在Windows和Android系统中存在CBC 密文填塞（padding oracle）攻击漏洞，能让网络监听者恢复加密网络传输的明文，从而泄露敏感信息。在iOS中虽然发现了漏洞，但并不清楚具体的利用方式。 恢复的数据示例摘录，第 11 行包含键入的文本 EncryptWall加密系统旨在通过纯 HTTP POST 请求中的加密字段，将敏感流量安全地传输到未加密的搜狗 HTTP API 端点。在通过 HTTPS 发出 EncryptWall 请求的情况下，研究人员认为这些请求是安全的，但EncryptWall 请求的底层加密技术中可能存在任何缺陷。 研究人员发现，CBC 密文填塞攻击是一种早在2002年就曾出现的选择密文攻击，信息的明文可以一个字节一个字节地恢复，每个字节最多使用 256 条信息。这种攻击依赖于一种称为填充预言的侧通道的存在，它可以明确地揭示接收到的密文在解密时是否被正确填充。 研究人员于今年5月31日向搜狗报告了次漏洞，最终修复版本于7月20日正式发布（Windows 13.7版本 、Android 11.26版本  和 iOS11.25 版本 ），强烈建议搜狗输入法的用户立刻升级至上述版本。 根据研究人员的报告，搜狗输入法是最受欢迎的中文输入法，占中文输入法用户的70%，每月活跃用户超过4.55 亿。     转自Freebuf，原文链接:https://www.freebuf.com/news/374555.html 封面来源于网络，如有侵权请联系删除

据观察，EvilProxy向100多个组织发送了120000封钓鱼电子邮件，以窃取微软365账户。Proofpoint注意到，在过去五个月里，云账户泄露激增，令人担忧。大多数袭击的目标是高级管理人员。这场运动的目标是全球100多个组织，共影响150万员工。 大约39%的受害者是C级高管，其中17%是首席财务官，9%是总裁和首席执行官。Proofpoint发布的帖子中写道：“黑客利用了EvilProxy，这是一种基于反向代理架构的网络钓鱼工具，黑客可以窃取受MFA保护的凭据和会话cookie。”这种日益严重的威胁将复杂的中间对手网络钓鱼与先进的账户接管方法相结合，以组织越来越多地采用多因素身份验证。 研究人员观察到，在拥有MFA保护的租户中，账户接管显著增加，在过去一年中，至少35%的受损用户启用了MFA。大规模的黑客依赖于品牌模仿、规避技术和多步骤感染链。 ReSecurity研究人员于2022年9月发现了EvilProxy，它与几位著名的地下行为者开发的网络钓鱼工具包有一定联系，他们以前曾针对金融机构和电子商务部门。 EvilProxy使用反向代理和Cookie注入方法绕过2FA身份验证——代理受害者的会话。此前，此类方法已在APT和网络间谍组织的有针对性的活动中出现，然而，现在这些方法已在EvilProxy中成功生产，这突出了针对在线服务和MFA授权机制的攻击增长的重要性。 该活动中使用的攻击链始于从伪造的电子邮件地址发送的网络钓鱼电子邮件。黑客模拟已知的可信服务，如Concur、DocuSign和Adobe。网络钓鱼邮件包含指向恶意Microsoft 365网络钓鱼网站的链接。点击嵌入链接后，收件人会通过YouTube或SlickDeals进行开放重定向，然后进行一系列重定向以避免被发现。 最终，用户流量会被引导到EvilProxy网络钓鱼框架。登录页起到反向代理的作用，模仿收件人品牌，并试图处理第三方身份提供商。如果需要，这些页面可能会请求MFA凭据，以便于代表受害者进行真实、成功的身份验证，从而验证收集到的凭据是否合法。 研究人员注意到，袭击的流量取决于受害者的地理位置。来自土耳其IP地址的用户流量被引导到合法网页，这种情况表明，这场运动背后的黑客总部似乎设在土耳其。 报告最后总结道：“黑客不断寻求新的方法来窃取用户的凭据并访问有价值的用户帐户。他们的方法和技术不断适应新的安全产品和方法，如多因素身份验证。即使是MFA也不是应对复杂威胁的灵丹妙药，可以通过各种形式的电子邮件绕过MFA攻击。”     转自E安全，原文链接:https://mp.weixin.qq.com/s/AHtfyWH7zDgtCcAbpsyogQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 1999年推出的Microsoft Active Directory是Windows网络中的默认身份和访问管理服务，负责为所有网络端点分配和执行安全策略。有了它，用户可以跨网络访问各种资源。随着时间的推移，事情往往会发生变化。几年前，微软推出了Azure Active Directory，这是基于云的AD版本，用以扩展AD范例，为组织提供跨云和本地应用程序的身份即服务(IDaaS)解决方案。(请注意，截至2023年7月11日，该服务已更名为Microsoft Entra ID，但为了简单起见，我们将在本文中将其称为Azure AD)。 Active Directory和Azure AD对于本地、基于云和混合生态系统的功能至关重要，也在正常运行时间和业务连续性方面发挥着关键作用。随着90%的组织使用该服务进行员工身份验证、访问控制和ID管理，它已成为打开网络城堡的钥匙。 Active Directory，不太妙 作为系统的中心，Active Directory的安全态势却十分可悲。 让我们快速浏览一下Active Directory的用户分配方式，这将揭示为什么这个工具存在我们所说的问题。 Active Directory所做的核心工作是建立具有与之关联的角色和授权的组。用户被分配一个用户名和密码，然后链接到他们的Active Directory帐户对象。使用轻量级目录访问协议，验证密码是否正确，并验证用户组。一般情况下，用户被分配到Domain User组，并被授予对域用户具有访问权限的对象的访问权限。然后是管理员——这些用户被分配到域管理员组。这个组具有很高的特权，因此被授权在网络中执行任何操作。 有了这些潜在的强大功能，确保以最佳方式管理和配置Active Directory是非常关键的。遗漏的补丁、糟糕的访问管理和错误的配置等问题可能会让攻击者访问最敏感的系统，这可能会带来可怕的后果。 在2022年，我们的内部研究发现，73%用于破坏关键资产的顶级攻击技术涉及管理不善或窃取凭证，而组织中超过一半的攻击包括一些Active Directory破坏元素。一旦他们在Active Directory中站稳脚跟，攻击者就可以执行大量不同的恶意操作，例如: 在网络中隐藏活动 执行恶意代码 提升权限 进入云环境危及关键资产 关键是，如果您不知道Active Directory中发生了什么，如果您缺乏适当的流程和安全控制，您可能会向攻击者敞开大门。 Active Directory攻击路径 从攻击者的角度来看，Active Directory是进行横向移动的绝佳机会，因为获得初始访问权限使他们可以利用错误配置或过度的权限，从低特权用户转移到更有价值的目标，甚至完全接管。 现在让我们来分析一下3种实际的Active Directory攻击路径，看看攻击者是如何通过这种环境的。 以下是我们在一个客户环境中遇到的攻击路径: 该组织致力于加强其安全态势，但Active Directory是一个盲点。在这种情况下，域中所有经过身份验证的用户(实际上是任何用户)都意外地获得了重置密码的权限。因此，如果攻击者通过网络钓鱼或其他社会工程技术接管了一个Active Directory用户，他们就可以为其他用户重置任何密码，并接管域内的任何帐户。一旦他们看到了这一点，他们终于明白他们的Active Directory安全方法需要升级，所以他们锁定并加强了他们的安全实践。 以下来自我们另一个客户的Active Directory： 我们通过身份验证用户组发现了攻击路径。该用户组可以将GPO策略的gPCFileSysPath更改为具有恶意策略的路径。 受影响的对象之一是AD用户容器，其子对象是属于Domain Admin组的用户。域内的任何用户都可以获得域管理权限——他们所需要的只是一个非特权用户成为网络钓鱼电子邮件的牺牲品，从而危及整个域。这可能会导致他们的系统完全妥协。 下面是更多案例： 首先，攻击者通过网络钓鱼邮件渗透企业环境，当打开这些邮件时，攻击者会使用未打补丁的机器漏洞执行代码。下一步是通过凭据转储技术利用受感染的Active Directory用户本地和域凭据。然后攻击者有权限将自己添加到一个组中，这样他们就可以将受感染的Active Directory用户添加到Active Directory帮助台组中。 帮助台组具有重置其他用户密码的Active Directory权限，在这个阶段，攻击者可以将密码重置为另一个用户的密码，最好是一个旧的、不再使用的admin用户。由于他们是管理员，他们就可以在网络中执行许多有害的活动，例如通过向Active Directory中的其他用户添加脚本登录来运行恶意代码。 这些只是攻击者在活动Active Directory中使用的一些相对简单的方法。通过了解这些实际的攻击路径，组织可以开始从攻击者的角度来看他们的Active Directory和AD Azure环境是什么样子。 结论 查看攻击路径可以帮助加固这些潜在的棘手环境。通过全面了解跨本地和云环境的Active Directory中存在的攻击路径，组织可以了解攻击者如何基于上下文理解其环境进行横向移动的；了解黑客是如何攻击和冒充用户、提升特权和获得对云环境的访问权的。 了解了这一点，组织就可以优先考虑真正需要修复的内容，并加强环境，以防止攻击者利用Active Directory的弱点。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文