一个被黑的笔记本电脑如何导致整个网络被入侵

主页（http://www.kuwanit.com）：一个被黑的笔记本电脑如何导致整个网络被入侵

一个周末在咖啡店里使用一台公司笔记本电脑，就足以让一个复杂的网络犯罪集团破坏一个组织的整个基础设施。

该事件由网络安全公司Crowstrike作为其网络入侵服务CaseBook2018报告的一部分进行了详细说明，并作为提醒，在组织网络内部运行的笔记本电脑和其他设备可以在外部公司墙外部暴露。

克劳德·斯特里克(CrowdStrike)称，这家遭受黑客攻击的公司仅仅是服装制造商，“拥有广泛的全球业务，包括零售场所”。

这起事件始于制造商的一名员工将他们的笔记本电脑带到了一家咖啡店，并使用它访问了该公司一位合伙人的网站。

安全研究人员说，用户通过网络钓鱼电子邮件访问网站后访问了网站，并且网站受到FAke更新、恶意软件和社会工程活动的影响，影响了数以千计的Joomla和WordPress网站。

恶意软件显示用户弹出窗口，声称他们的浏览器软件需要更新。在此实例中，笔记本电脑随后被DdridexBanking特洛伊木马和PowerShellEmpirePost-Exploit工具集感染。

服装公司使用的安全软件--Crowdtrike没有指明供应商的名字--依靠公司网络内部的设备来识别威胁。当笔记本电脑在网络之外使用时，直到笔记本电脑回到办公室，这件事才变得很明显--到那时一切都太晚了。

然后，受感染的膝上型计算机成为攻击者危害公司网络的入口点，允许攻击者使用PowerShell漏洞访问许多系统，这些系统可能会利用用户的权限而受到损害。

攻击者还可以使用imimatz收集附加的特权帐户凭据，这是一个开源实用工具，用于从内存中检索明文凭据和哈希，以获得对服务器的访问，并进一步跨网络移动。

Crowdtrike专业服务总监布赖恩·约克(Bryan York)告诉ZDNet：“本地管理员权限使得威胁行为者访问多个端点变得更容易，只需访问一个将它们全部连接起来的账户。一旦获得了对域名的访问，就会让该组织完全暴露。”

这种暴露允许攻击者在零售商店服务器上安装FrameworkPOS恶意软件，目的是窃取信用卡数据。

研究人员已经确定了一个网络犯罪组织，他们称IndrikSpider为袭击的罪魁祸首。黑客行动自2014年以来一直活跃，并与Dridex和BitPaymer Ransomware的活动密切相关，这些活动被认为已经为攻击者带来了数百万美元的收入。

这是Indrik Spider第一次与FakeUpdate联系在一起，这表明该集团在继续寻找新的非法赚钱手段的同时，正在扩大其业务范围。CrowdStrike不愿透露这一活动是否成功，或者信用卡数据是否被窃取--但有些组织应该从中吸取教训，以免成为类似活动的牺牲品。

CrowdStrike建议应该隔离帐户，并且不应该授予最终用户在本地系统上的管理员权限。在这一事件中，对手滥用了公司Active Directory中的一个错误配置，提供了不必要的特权--因此，该安全公司建议各组织应定期检查整个全球企业的ActiveDirectory配置。

约克说：“在我们今年看到的20%的案例中，攻击者使用了PowerShell或Windows管理工具，企业需要知道如何更好地检测和防范这些事件。”