XiaoMi-AI文件搜索系统
World File Search System远程桌面
Agilaire 型号 8872 – 详细视图
一些额外的远程控制和分析仪调整功能可以通过供应商特定的软件提供,例如 iPort 和 APICOM。8872 型/用户 PC 平台可以轻松支持这些软件包以及站点节点记录器功能。但是,我们不会将软件“集成”到我们的应用程序 GUI 中,因为集成第三方组件(尤其是那些不是创作公司重点关注的组件)会导致过时问题。对于预期使用寿命为 10-14 年的平台,在同一个 Windows 平台上运行软件并允许通过远程程序(VNC、远程桌面等)访问是一种技术上更优越的方法。它允许分析仪供应商软件独立更新其产品,而不会影响 DAS 包的稳定性。
WeLiveSecurity.com @ESETresearch ESET GitHub
在 2022 年 T2 中,我们看到远程桌面协议 (RDP) 攻击继续急剧下降,这种攻击可能由于俄乌战争而继续失去动力,同时由于新冠疫情后人们重返办公室,企业环境的整体安全性得到改善。即使数量有所下降,俄罗斯 IP 地址仍然是 RDP 攻击的最大来源。在 2022 年 T1 中,俄罗斯也是勒索软件攻击最多的国家,其中一些攻击是出于战争的政治或意识形态动机。然而,正如您将在以下页面中看到的那样,这股黑客行动主义浪潮在 T2 中有所减弱,勒索软件运营商将注意力转向了美国、中国和以色列。
#stopransomware:Bianlian数据勒索组
(2024年11月20日更新)Bianlian集团演员自2022年6月以来一直影响美国多个关键基础设施部门的组织。除了专业服务和房地产开发外,他们还针对澳大利亚关键基础设施部门。该小组通过有效的远程桌面协议(RDP)凭据,使用开源工具和命令行脚本进行发现和凭据收获,并通过文件传输协议(FTP),RCLONE或MEGA删除受害者数据。bianlian然后通过威胁要释放数据,勒索金钱。Bianlian Group最初采用了双重贬义模型,在该模型中,他们在删除数据后对受害者的系统进行了加密;但是,他们主要转移到2023年1月左右的基于渗透的勒索,并在2024年1月左右转移到完全基于脱落的勒索。
西班牙威胁形势报告 - SOCRadar
初始访问 T1078 有效账户 T1190 利用面向公众的应用程序执行 T1047 Windows 管理规范 T1059 命令和脚本解释器 T1059.003 Windows 命令 Shell 持久性 T1547.001 启动或登录自动启动执行:注册表运行键/启动文件夹权限提升 T1055 进程注入防御规避 T1055 进程注入 T1070.004 主机上的指示器删除:文件删除 T1112 修改注册表 T1497 虚拟化/沙盒规避凭证访问 T1056.004 凭证 API 挂钩 T1110 暴力破解发现 T1012 查询注册表 T1018 远程系统发现 T1057 进程发现横向移动 T1021 远程服务T1021.001 远程服务:远程桌面协议 T1021.002 远程服务:SMB/Windows 管理员共享收集 T1056.004 凭证 API 挂钩命令和控制 (C2) T1090.003 代理:多跳代理泄露 T1567.002 通过 Web 服务泄露:泄露到云存储影响 T1486 加密数据以产生影响 T1490 抑制系统恢复
初始访问时经常利用薄弱的安全控制和做法
未强制执行多因素身份验证 (MFA)。MFA(尤其是用于远程桌面访问)可帮助防止帐户被盗用。由于远程桌面协议 (RDP) 是勒索软件最常见的感染媒介之一,因此 MFA 是减轻恶意网络攻击的关键工具。不要将任何用户(包括管理员)排除在该策略之外。 特权或权限应用不正确以及访问控制列表中的错误。这些错误可能会阻止访问控制规则的执行,并可能允许未经授权的用户或系统进程被授予对对象的访问权限。 软件不是最新的。未打补丁的软件可能允许攻击者利用已知的漏洞来访问敏感信息、发起拒绝服务攻击或控制系统。这是最常见的不良安全做法之一。 使用供应商提供的默认配置或默认登录用户名和密码。许多软件和硬件产品在出厂时都带有过于宽松的出厂默认配置,目的是使产品易于使用并减少客户服务的故障排除时间。但是,安装后保留这些出厂默认配置可能会为攻击者提供可乘之机。网络设备还经常预先配置了默认管理员用户名和密码以简化设置。这些默认凭据并不安全 - 它们可能物理标记在设备上,甚至可以在互联网上随时获取。如果不更改这些凭据,将为恶意活动创造机会,包括未经授权访问信息和安装恶意软件。网络防御者还应注意,同样的注意事项也适用于可能带有预配置默认设置的额外软件选项。 虚拟专用网络 (VPN) 等远程服务缺乏足够的控制来防止未经授权的访问。近年来,有人观察到恶意威胁行为者将远程服务作为目标。网络防御者可以通过添加访问控制机制(例如强制实施 MFA、在 VPN 前实施边界防火墙以及利用入侵检测系统 / 入侵防御系统传感器检测异常网络活动)来降低远程服务受到侵害的风险。 未实施强密码策略。恶意网络行为者可以使用多种方法利用弱密码、泄露密码或被泄露的密码获得对受害者系统的未经授权的访问。恶意网络行为者已将这种技术用于各种邪恶行为,尤其是在针对 RDP 的攻击中。 云服务不受保护。配置错误的云服务是网络行为者的常见目标。不良的配置可能导致敏感数据被窃取,甚至加密劫持。 开放端口和配置错误的服务暴露在互联网上。这是最常见的漏洞发现之一。网络攻击者使用扫描工具检测开放端口,并经常将其用作初始攻击媒介。成功入侵主机上的服务可能使恶意网络攻击者获得初始访问权限,并使用其他策略和程序入侵暴露和易受攻击的实体。RDP、服务器消息块 (SMB)、Telnet 和 NetBIOS 都是高风险服务。