基地组织

Impacket 和 Exfiltrate 工具用于窃取国防工业基地组织的敏感信息

• 重置所有登录帐户。重置所有用于身份验证的帐户，因为威胁行为者可能拥有其他被盗凭据。密码重置还应包括 Microsoft Active Directory 之外的帐户，例如网络基础设施设备和其他未加入域的设备（例如 IoT 设备）。 • 监控 SIEM 日志并建立检测。根据威胁行为者的 TTP 创建签名，并使用这些签名监控安全日志，以查找任何威胁行为者重新进入的迹象。 • 对所有用户帐户强制执行 MFA。尽可能在所有帐户上强制执行防网络钓鱼的 MFA，无一例外。 • 遵循 Microsoft 的 Active Directory 安全指南 — 保护 Active Directory 的最佳实践。 • 审核帐户和权限。审核所有帐户，以确保所有未使用的帐户都被禁用或删除，并且活动帐户没有过多的权限。监控 SIEM 日志以查看帐户的任何更改，例如权限更改或启用以前禁用的帐户，因为这可能表明威胁行为者正在使用这些帐户。 • 通过查看联合网络安全信息表——《保持 PowerShell：使用和接受的安全措施》中的指导来强化和监控 PowerShell。