用户桌面上的一个明文文件如何泄露机密并引发Akira勒索软件攻击

一名威胁行为者通过SonicWall VPN设备获得初始访问权限后，在一名用户的桌面上发现了以明文文件形式保存的Huntress恢复代码，从而得以升级攻击。

这使得攻击者能够登录到客户的安全门户，在那里他们试图修正事件报告并卸载安全代理以掩盖自己的踪迹。

这一事件是针对SonicWall虚拟专用网络的更大规模攻击活动的一部分。该活动迅速将Akira勒索软件传播给了许多受害者。

这个特定案例凸显了以易于获取的格式存储敏感凭证所带来的重大风险。

亚太地区的女猎手安全运营中心（SOC）首次发现可疑活动时，有多名管理员用户开始执行命令，删除某组织内多台主机上的卷影副本。作为回应，分析师启动了大规模系统隔离以遏制威胁。

调查显示，Akira勒索软件的二进制文件w.exe是从一名用户的桌面执行的，这导致了该工作站被加密。

然而，快速的遏制措施阻止了勒索软件在整个环境中蔓延。

安全运营中心分析师迈克尔通过事件日志分析确认，受影响的用户账户是从192.168.x.x网段的内部IP地址登录的。

这些IP很可能是在Akira威胁行为者入侵该组织的SonicWall VPN后，通过动态主机配置协议（DHCP）分配给其控制的系统的。

这种技术使攻击者能够混入合法的网络流量中，绕过端点检测与响应（EDR）解决方案，因为恶意系统没有安装安全代理，且其活动看起来源自受信任的内部来源。

Huntress安全运营中心发布了一份正式的事件报告，指出SonicWall虚拟专用网络可能是入侵点，并为大规模隔离响应提供了依据。

随后，该团队与威胁狩猎与响应团队合作进行了更深入的分析，为合作伙伴提供了关于这一活跃威胁的全面情报。

证书导出与滥用

在对域控制器（DC）的调查过程中，分析人员发现受感染用户正在执行命令，以从本地证书存储中列出并导出证书。

攻击者特意使用certutil -store My来枚举个人存储中的证书，这些证书可能包含用于身份验证、加密或签名的敏感密钥。

随后，攻击者导出了PFX格式的证书，其中包含公钥和私钥。

如果此类证书用于用户或设备认证，那么对其进行破解可能会让攻击者冒充合法用户或机器，从而为凭证窃取和横向移动提供便利。

虽然此活动是为持续访问做准备的强烈迹象，但在事件期间无法确定这一特定行动的根本原因。

在从域控制器枚举管理员共享时，威胁 actors 发现并访问了内部安全工程师桌面上一个名为Huntress_recovery_codes-<redacted>.txt的明文文件。

这些代码充当绕过多因素认证（MFA）的备用手段。一旦这些代码被泄露，攻击者实际上就能获得对Huntress控制台的完全访问权限，进而篡改检测和响应能力。

Huntress的分析师们注意到，一名安全工程师的账户开始在Huntress门户内处理未解决的事件报告，考虑到当前正在发生的事件，这一情况有些反常。

安全运营中心团队迅速将他们的担忧升级上报，合作方证实该活动并非其人员所为。

对门户活动的审查显示，一个已知的恶意IP地址104.238.221[.]69曾使用被盗的恢复代码访问该门户，该IP地址此前与其他SonicWall入侵事件有关联。

随后，攻击者手动关闭了事件报告，并开始从受感染的系统中卸载Huntress智能体，以隐藏踪迹并阻碍响应行动。

这一系列事件凸显了存储不当的恢复代码如何成为单点故障，使得攻击者能够绕过多因素认证（MFA）并获取特权访问权限。

在这种情况下，攻击者能够冒充受信任用户，访问安全门户，屏蔽警报，并试图移除端点保护。

明文存储凭据的危险

以明文形式存储凭据和恢复代码会带来重大安全风险。一旦被获取，它们可能会被用于危害主机以及访问关键的第三方应用程序和安全平台。

这种访问权限可能被滥用，用于禁用防御措施并执行进一步的恶意操作。

组织应将恢复代码与特权账户密码同等对待，采用相同级别的安全措施。建议做法包括：

• 避免明文存储：不要将恢复代码保存在未受保护的文本文件中或共享驱动器上。
• 使用密码管理器：将验证码和登录凭证存储在加密的密码管理器中，并设置一个高强度的主密码。
• 加密离线存储：如果使用离线存储，请确保文件在加密驱动器上进行了加密和密码保护。
• 轮换和监控：定期重新生成恢复代码，并监控异常登录活动。

妥协指标