写在前面的话

Cisco威胁情报团队Talos在其blog上披露阎罗王（yanluowang）勒索软件团伙对Cisco攻击的报告，本文是对报告的胡乱分析和解读。文章发在8月初，9月11日刷新一下，但是基本没啥改动，具体内容可以见附录。

事件概述

Cisco安全部门发布一份报告，报告披露今年5月Cisco遭遇到的一次网络攻击的事件。此次安全攻击由一个Cisco称之为yanluowang的黑客团队实施攻击，黑客窃取了部分数据并且邮件对Cisco进行勒索。

Cisco强调黑客窃取的数据非敏感文件，而且攻击在很短时间就已被遏制，黑客安装的木马等远控软件都已经被清除出了Cisco内部网络。

Cisco同时还表示就攻击中获取的信息证据来看，这个团伙很可能和UNC2447和Lapsus$是有关系的。

黑客团队联系媒体声称他们窃取了 2.75GB 的数据，其中包括大约 3,100 个文件。其中许多文件是保密协议、导出数据和工程图纸。并且提供一份被盗文件作为证明。

事件看点

从Cisco披露的报告来看，这个黑客团伙攻击手法和Lapsus$是有点类似

• 社会工程学的攻击手法，获取员工登录凭据。

• 通过员工通道进入企业内网，开始内网渗透。

• 控制内网重要服务器，例如Citrix，域控。

• 建立持久化通道进行长期控制。

• 获取数据，勒索企业不给钱就对外泄露数据。

从Cisco攻击比较有看点的地方是社工攻击，这次不是传统的钓鱼和收买或者派人入职。而是通过对云端账户的攻击，获取保存在云端的敏感数据，然后通过这些敏感数据获得了进入内网的登录凭据。

从报告中可以看到，整个攻击能成功打开通道的是黑客通过获得了Cisco员工的个人Google账户，然后利用浏览器同步功能，把员工在浏览器密码管理器里保存的登录信息同步到本地，这样就不仅获取VPN信息，还有很多内部账户登录信息。

应该说整个报告也就这部分让人感觉疑惑，yanluowang这个团伙就这样轻松找到了一个Cisco员工的谷歌账户，不仅搞定了账户密码还搞定了谷歌的风控登录，而且这个账户里面还有Cisco内部系统的关键账户密码。怎么看怎么都像写小说。

笔者写到这里突然想到Lapsus$都能加入微软上班的方式来攻击微软，这个yanluowang团队和Lapsus$有点关系的团伙，使用某些特殊手段直接定位到Cisco员工，然后利用了某些物理手段去摸清楚了员工的一些电脑使用习惯，最后物理手段直接弄到这个员工的设备。如果是这样就可以解释了攻击者能成功绕过谷歌的风控，同时之前定位好了信息，所以从云端数据里找到重要的凭据也顺理成章了。

脑补一下场景画面，yanluowang团队找一个漂亮妹子去推特，linkedin，facebook上面去加那些筛选出来的Cisco员工。通过各种聊天接触把这些宅男程序员给迷晕了，然后再线下约会的方式接触到员工本人，利用这些宅男程序员以为有美好的遇见进行happy，精神麻痹的时候，拿到员工的电脑设备。然后就没有然后了。

报告的其他部分应该都算是比较传统的套路，不过还是有不少有意思的地方值得一看。

首先是如何绕过二次验证，从报告里说攻击者采取了MFA疲劳（MFA fatigue）和语音钓鱼（voice phishing）发送了大量的MFA请求和语音通知来让目标来同意MFA验证。报告里说有一个员工向安全组织提交了事件报告，从报告内容来分析，受到攻击的远不止一个员工，还是有其他员工因为攻击同意了MFA申请，让攻击者获取了权限。这里应该能看出Cisco安全团队虽然收到了员工报告异常，但是安全团队好像也只把这个事件当成一个普通的钓鱼事件没有进行深入调查和止血，从而让攻击者有时间进行内网渗透。

其次报告内容里没提怎么获取了域控权限的。感觉也是这帮攻击者基本没花什么力气就直接拿下了域控，而且直接通过ntdsutil.exe进行dump域控账户。不知道是不是因为直接骗到那个账户权限足够大，这样就直接拿下域控。

第三点报告没有说真正的攻击时间，只是说发现是5月24日。但是看起来攻击者对内网是进行比较多的操作，时间应该比Cisco提到的5月24日早很多，不知道是什么操作导致Cisco触发到响应的。但是yanluowang这个内网渗透的动静真不小了，都在内网各种添加删除账户，打开机器rdp端口，居然也没触发报警。

第四点不知道为啥把这个团伙叫做yanluowang这么一个中国味特浓的名字。至于为啥说这个一个勒索软件攻击报告里倒是给出解释，虽然Cisco在这次攻击中没有观察到勒索软件的部署，但各种工具和行为与“勒索软件前活动”一致，这是在受害者环境中部署勒索软件之前通常观察到的活动。

事件总结

Cisco安全团队最后也总结一些建议，笔者整理几个比较关键的地方简单罗列一下。从这些建议可以看出来很多传统管控手段还是必须的。

• 防社工攻击的安全教育还是很必要的，特别是现在社会工程学攻击这么泛滥的今天，另外不仅教育如何防御攻击还要让员工知道如何寻找安全或者支持人员，例如员工了解支持人员联系方式。（看起来Cisco事后调查发现很多员工知道是攻击但是没有找到联系方式就没有去报告）

• 设备准入很重要，但是不仅仅是用MFA这些验证，还需要引入类似风控策略对接入设备进行更多维度的检测。

• 接入VPN需要进行强制安全基线策略

• 终端部署EDR是必要的。

• 网络划分还是必要的

• 集中日志收集和数据备份也是必要
  

写在最后的话

很多公司经过长期发展后，各种访问控制和安全策略都因为业务变得更复杂以后逐渐被侵蚀，特别是一些成立时间很长的公司安全团队如何保证安全防御有效性需要很多工作要做。

低级安全问题会反复出现，但是不能因为低级安全问题就放松警惕，很可能这是某些大规模攻击的开始。

原文链接：

https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html