濫用微軟Office 365某功能,威脅行為者對企業發動勒索攻擊
安全研究人員警告稱,威脅行為者可能會劫持Office 365賬戶,對儲存在SharePoint和OneDrive服務中的檔案進行加密,以獲得贖金,很多企業正在使用SharePoint和OneDrive服務進行雲協作、文件管理和儲存,如果資料沒有備份,那針對這些檔案的勒索軟體攻擊可能會產生嚴重後果,導致所有者和工作組無法訪問重要資料。
近期,網路安全公司Proofpoint的研究人員在一份報告中指出,勒索攻擊的成功主因在於濫用“自動儲存”功能,該功能會在使用者進行編輯時建立舊檔案版本的雲備份。威脅行為者要加密SharePoint和OneDrive檔案的前提條件是破壞Office 365 帳戶,這很容易通過網路釣魚或惡意OAuth應用程式完成。劫持帳戶後,攻擊者可以使用Microsoft API和PowerShell指令碼自動對大型文件列表執行惡意操作。要更快地完成檔案鎖定並使恢復變得更困難,威脅行為者會通過減少版本編號限制並加密所有超過該限制的檔案。此任務不需要管理許可權,可以從任何被劫持的帳戶完成。研究人員舉例說,對手可以將檔案版本數減少到“1”,並對資料進行兩次加密。由於檔案版本限制設定為“1”,當攻擊者對檔案進行兩次加密或編輯時,原始文件將無法通過OneDrive獲得,也無法恢復。
另一種方法是使用自動指令碼編輯檔案501次,這超過了OneDrive儲存檔案版本的最大500次限制。雖然這種方法更張揚,可能會觸發一些警報,但它仍然是一種有效的方法。文件加密完成後,攻擊者就可以向受害者索取贖金,以換取解鎖檔案。在加密之前先竊取原始檔案,從而在洩露資料的威脅下給受害者更大的壓力,這也是可行的,而且可能被證明是有效的,特別是在有備份的情況下。
雖然Proofpoint提醒微軟版本編號設定可能會被濫用,但微軟堅稱這種配置能力是其預期的功能。微軟說,如發生類似上述攻擊場景的意外資料丟失情況下,微軟的support agent可以在事故發生14天后幫助恢復資料。但根據Proofpoint的報告,他們嘗試使用support agent恢復檔案,但失敗了。
對於可能成為這些雲攻擊目標的企業,最佳安全實踐包括:
- 使用多因素身份驗證
- 保持定期備份
- 尋找惡意OAuth應用程式並撤銷令牌,以及在事件響應列表中新增“立即增加可恢復版本”。
參考來源:http://www.bleepingcomputer.com/news/security/microsoft-office-365-feature-can-help-cloud-ransomware-attacks/
- 銀行木馬SOVA捲土重來,或可發起勒索攻擊
- 涉及金額5.4億美元,網路犯罪分子正通過 RenBridge 跨鏈平臺洗錢
- 記錄虎符杯線下決賽flask反序列化及patch思路
- Sophos:首次發現三個勒索軟體連續攻擊同一個網路
- CISA警告Windows和UnRAR漏洞在野被利用
- LyScript:一款x64dbg自動化除錯外掛
- 警惕!黑客正在從分類資訊網站上竊取信用卡
- PyPI中發現新惡意Python庫
- 關於委託“FreeBuf”調研成都網路安全企業的情況說明
- Forrester安全分析平臺報告出爐,360領跑國內安全運營市場
- 針對Windows和Linux ESXi伺服器,GwisinLocker勒索軟體發起勒索攻擊
- 推特承認,零日漏洞致540萬用戶資料被盜
- 緩衝區溢位漏洞那些事:C -gets函式
- Solana被盜500萬美元,具體原因尚不明確
- 印度政府宣佈撤回本國資料保護法案
- DrayTek爆出RCE漏洞,影響旗下29個型號的路由器
- 德國工商總會被網路攻擊打爆了
- 針對微軟企業電子郵件服務,大規模網路釣魚攻擊來襲
- GitHub 3.5萬個程式碼庫被黑?謠言,只是被惡意複製
- Atomic wallet遭山寨,假網站散播惡意軟體