关于“麒麟勒索软件现在从Chrome浏览器窃取凭据”事件的分析

　　一、基本内容

　　麒麟勒索软件集团一直在使用一种新策略，并部署了一个自定义窃取器来窃取存储在谷歌Chrome浏览器中的帐户凭据。

　　Sophos X-Ops团队在事件响应过程中观察到了凭证收集技术，这标志着勒索软件领域发生了令人担忧的变化。

　　二、攻击概述

　　Sophos研究人员分析的攻击始于麒麟使用缺乏多因素身份验证(MFA)的VPN门户的受损凭据访问网络。

　　中断之后是18天的休眠期，这表明麒麟有可能从初始访问代理(IAB)那里购买进入网络的方式。

　　麒麟花时间绘制网络图，识别关键资产，并进行侦察。

　　在最初的18天后，攻击者横向移动到域控制器并修改组策略对象(GPO)，以便在登录到域网络的所有计算机上执行PowerShell脚本('IPScanner.ps1')。

　　该脚本由GPO中包含的批处理脚本('logo.bat')执行，旨在收集存储在Google Chrome中的凭据。

　　批处理脚本被配置为每次用户登录其计算机时运行(并触发PS脚本)，而被盗的凭据以“LD”或“temp.log”的名称保存在“SYSVOL”共享上。

　　在将文件发送到麒麟的指挥与控制(C2)服务器后，本地副本和相关事件日志被擦除，以隐藏恶意活动。最终，麒麟在受感染的机器上部署了勒索软件有效载荷和加密数据。

　　另一个GPO和一个单独的批处理文件('run.bat')用于在域中的所有计算机上下载和执行勒索软件。

　　三、防御复杂性

　　麒麟针对Chrome凭据的方法开创了一个令人担忧的先例，这可能会使防范勒索软件攻击变得更加具有挑战性。

　　由于GPO应用于域中的所有计算机，因此用户登录的每个设备都要经过凭据收集过程。

　　这意味着，只要这些机器连接到域，并且在脚本活动期间有用户登录，该脚本就有可能从公司内的所有机器中窃取凭据。

　　如此广泛的凭证盗窃可能会引发后续攻击，导致跨多个平台和服务的广泛漏洞，使响应工作变得更加繁琐，并在勒索软件事件解决后引入挥之不去的长期威胁。

　　这种成功的妥协意味着防御者不仅必须更改所有Active Directory密码;他们还应该(理论上)要求最终用户更改数十个(可能是数百个)第三方网站的密码，这些网站的用户已在Chrome浏览器中保存了他们的用户名密码组合骚护士

　　组织可以通过实施严格的政策来禁止在web浏览器上存储机密，从而降低这种风险。

　　此外，实施多因素身份验证是保护帐户免受劫持的关键，即使在凭据泄露的情况下也是如此。

　　最后，实施最小特权原则和对网络进行分段可能会严重阻碍威胁行为者在受损网络上传播的能力。

　　鉴于麒麟是一个不受约束的多平台威胁，与分散蜘蛛社会工程专家有联系，任何战术变化都会给组织带来重大风险。

　　四、应对策略

　　为应对麒麟勒索软件集团的新策略，我们将采取一系列措施来加强安全防御。首先，我们将立即实施多因素身份验证(MFA)，以防止通过受损凭据进行未经授权的访问。其次，我们将加强对组策略对象(GPO)的监控，防止恶意脚本的执行，并限制在Web浏览器中存储机密信息的行为。此外，我们将要求所有用户更改存储在Chrome浏览器中的密码，特别是那些与关键系统相关的账户。通过这些措施，我们将有效降低勒索软件攻击的风险，并保护我们的网络和数据安全。