HTI Services

092.8765.688 htiservices@htigroup.vn

  • vi
    • en

HTI Services
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en

Máy chủ bị tấn công bằng BitLocker mà “hầu như không có sự xâm nhập của phần mềm độc hại”

Máy chủ bị tấn công bằng BitLocker mà “hầu như không có sự xâm nhập của phần mềm độc hại”

Phương Anh Nguyễn2022-10-19T13:15:02+07:00
Phương Anh Nguyễn 2022-10-04 Tin tức

Máy chủ bị tấn công bằng BitLocker

Một báo cáo mới đây của The DFIR đã chỉ ra rằng: Các tin tặc đã xâm nhập vào hệ thống đang chạy máy chủ on-premises Microsoft Exchange sau đó tiến hành mã hóa hệ thống bằng cách sử dụng BitLocker của chính Microsoft thay vì các phần mềm độc hại liên quan đến nhóm RaaS (Ransomware as a Service).

Nó được miêu tả là “hầu như không có sự xâm nhập của phần mềm độc hại” bởi đây là trường hợp rất hiếm xảy ra khi cuộc tấn công ransomware không sử dụng Cobalt Strike hay C2 framework nào.

Những kẻ tấn công đã giành được quyền truy cập ban đầu bằng cách khai thác bộ ba lỗ hổng trong Microsoft Exchange được gọi là ProxyShell (CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207) đã được chỉ ra vào đầu tháng 8 năm 2021.

Máy chủ bị tấn công bằng BitLocker

Các nhà phân tích tại DFIR Report cũng cho biết những kẻ tấn công đã sử dụng công cụ mã hóa BitLocker của Microsoft để mã hóa các tệp máy chủ và một công cụ mã hóa DiskCryptor có mã nguồn mở để khóa các tệp trong máy trạm trước khi đòi 8.000 USD cho các khóa mã hóa.

Sau khi xâu chuỗi các lần lợi dụng ProxyShell ban đầu cho các đặc quyền SYSTEM trên hệ thống đích, tin tặc đã thả ba web shell khác nhau – tập lệnh được tải lên máy chủ web cho phép quản trị từ xa máy trong các thư mục có thể truy cập công cộng – để thực thi mã tùy ý trên máy chủ, sử dụng chương trình quản lý cấu hình Microsoft PowerShell và giao diện dòng lệnh CMD (Command Prompt) trên Windows.

Báo cáo cũng chỉ ra rằng: “Sau khi có được chỗ đứng ban đầu trên hệ thống Exchange, các tác nhân nguy hại bắt đầu khám phá ra bằng cách thực hiện các lệnh như ipconfig, net, ping, systeminfo và các lệnh khác, sử dụng các web shell đã bị loại bỏ trước đó. Vì các lệnh được thực thi thông qua web shell chạy với các đặc quyền SYSTEM, các tác nhân nguy hại đã lợi dụng điều này và kích hoạt tài khoản được tích hợp sẵn DefaultAccount, đặt mật khẩu và thêm nó vào nhóm Quản trị viên và Người dùng máy tính từ xa. Tiếp theo, các tác nhân nguy hại đã thả Plink (https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html) và thiết lập kênh SSH để lộ RDP qua đó. Sau đó chúng kết nối với máy chủ Exchange qua RDP bằng tài khoản DefaultAccount.

“Chúng đã sao chép các công cụ của mình vào hệ thống thông qua RDP… Ngay sau khi chuyển giao, chúng đã tiến hành install-proxy.bat để tạo hai thư mục và chuyển CacheTask.bat, dllhost.exe và RuntimeBroker vào thư mục tương ứng của chúng. Tác vụ thực thi install-proxy.bat đã được lên lịch sẵn, thiết lập tính bền vững của mạng thông qua Fast Reverse Proxy (FRP) để ủy quyền lưu lượng RDP trong quá trình xâm nhập.

“Bằng cách sử dụng kết nối Plink FDP, tác nhân nguy hại đã loại bỏ LSASS bằng Task Manager. Ba mươi phút sau, tác nhân nguy hại bắt đầu sử dụng tài khoản quản trị viên domain sau đó thực hiện quét cổng bằng KPortScan 3.0 và di chuyển qua RDP. Các máy chủ nằm trong mục tiêu của tin tặc bao gồm hệ thống sao lưu và bộ điều khiển domain. Tác nhân nguy hại cũng triển khai FRP package cho hệ thống này sau khi có được quyền truy cập. Cuối cùng, chúng triển khai setup.bat trên các máy chủ trong hệ thống bằng cách sử dụng RDP và tiện ích mã hóa DiskCryptor nguồn mở để mã hóa các máy trạm.

“Setup.bat đã chạy các lệnh để kích hoạt mã hóa BitLocker, điều này dẫn đến việc các máy chủ không thể hoạt động được…”

Bản ghi kĩ thật đầy đủ và TTPs từ DFIR Report: Exchange Exploit Leads to Domain Wide Ransomware – The DFIR Report

Ba lỗi ProxyShell được khai thác từ xa thông qua thông qua Microsoft Exchange’s Client Access Service (được mô tả là “một HTTP Proxy chất lượng”) chạy trên cổng 443 trong IIS. Microsoft đã thực sự vá lỗi giao diện người dùng CAS này trong bản cập nhật vào tháng 4/2021, loại bỏ yếu tố “ủy quyền  trước” của cuộc tấn công. Tuy nhiên, nhiều người dùng đã không cập nhật máy chủ của họ dẫn đến sự cố như trên. Cuộc tấn công ProxyShell ba bước được trình bày bởi Orange Tsai – người phát hiện như sau:

  1. Phân phối WebShell được mã hóa bằng SMTP
  2. Khởi chạy PowerShell gốc và chặn giao thức WinRM
  • Viết lại /PowerShell/ thành /Autodiscover/ để kích hoạt lỗi nhầm đường dẫn
  • Thêm chuỗi truy vấn X-Rps-CAT với Exchange Admin Access Token tương ứng
  1. Thực thi các lệnh bên trong phiên PowerShell đã thiết lập
  • New-ManagementRoleAssignment để cấp vai trò Mailbox Import Export cho mình
  • New-MailboxExportRequest để ghi tệp ASPX vào đường dẫn UNC
  1. Tận hưởng sự lén lút trong hệ thống như một hacker

Vậy nên, biết rồi, khổ lắm, nhưng vẫn phải nói mãi: Hãy cập nhật phầm mềm thường xuyên vì sự an toàn của bạn.

Link bài viết gốc: https://thestack.technology/ransomware-attack-bitlocker/

Từ khóa:

bitlockerdữ liệu bị mã hóagiải mã dữ liệumã độc ransomwaremã độc tống tiềnmáy chủ bị tấn côngMicrosoft Exchangephần mềm độc hạiransomwaretấn công ransomware

Chia sẻ:

Facebook LinkedIn

Bài viết liên quan

be_khoa_mat_khau
10Jul10/07/2025

Bẻ khóa mật khẩu từ A đến Z

Bẻ khóa mật khẩu và truy cập vào dữ liệu bị mã hóa là chủ đề nhận được rất... read more

tao_anh_o_dia
04Jul04/07/2025

Khi tốc độ trở nên quan trọng: Tạo ảnh nhanh cho ổ đĩa NVMe

Ổ đĩa NVMe SSD hiện đại cần các cách tiếp cận chuyên biệt để phân tích pháp y. Mỗi... read more

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
30Jun30/06/2025

Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware

Làm thế nào kẻ tấn công có thể vượt qua các giải pháp bảo mật của tổ chức bạn? Có... read more

Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
24Jun24/06/2025

RANSOMWARE – BE AWARE [Qilin]

Giới thiệu Trong bối cảnh các cuộc tấn công ransomware đang gia tăng nhanh chóng, liệu có bao nhiêu tổ... read more

file-RSV
18Jun18/06/2025

Tất tần tật về khôi phục file Sony RSV

Trong cộng đồng những người dùng máy ảnh Sony, khái niệm lỗi file định dạng RSV có lẽ không... read more

lockbit
29May29/05/2025

LockBit 2025: Hé lộ mặt tối của một đế chế tội phạm số toàn cầu

Bài viết được thực hiện bởi chuyên gia phân tích từ HTI Services – Một thành viên của HTI... read more

Search

Search
Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt

Bài viết mới nhất

be_khoa_mat_khau
Bẻ khóa mật khẩu từ A đến Z
10/07/2025
loi_dau_tu_hdd
Lỗi đầu từ trong khôi phục dữ liệu HDD
09/07/2025
tao_anh_o_dia
Khi tốc độ trở nên quan trọng: Tạo ảnh nhanh cho ổ đĩa NVMe
04/07/2025
bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware
30/06/2025
Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
RANSOMWARE – BE AWARE [Qilin]
24/06/2025

Tin tuyển dụng mới nhất

Tuyển dụng kỹ sư bán hàng
Kỹ sư bán hàng
26/08/2022
Tuyển dụng chuyên viên phân tích dữ liệu (Business Analystic)
04/08/2022

HTI Services - A member of HTI Group

Trụ sở Hà Nội: Tầng 12-VP2, Tòa nhà Sun Square, số 21 Lê Đức Thọ, Phường Từ Liêm, Thành phố Hà Nội

Chi nhánh Đà Nẵng: Tầng 5, Tòa nhà Vietnam Innovation Hub, 175 Trần Hưng Đạo, Phường An Hải, Thành phố Đà Nẵng

Chi nhánh Hồ Chí Minh: 203A Võ Thị Sáu, Phường Xuân Hòa, Thành phố Hồ Chí Minh

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Giờ làm việc: 8h30 – 17h30 từ Thứ 2 – Thứ 6, Từ 8h30 – 12h Thứ 7, Chủ Nhật nghỉ

Dịch vụ của chúng tôi

Tư vấn giải mã dữ liệu bị mã hóa

Hủy dữ liệu an toàn

Tư vấn điều tra nội bộ về rò rỉ dữ liệu

Khôi phục dữ liệu

Tư vấn đánh giá mức độ an toàn dữ liệu

Rà quét thiết bị điện tử

Chính sách

Đăng ký để nhận tin

Theo dõi chúng tôi

fb
yt
lkn

HTI Services - A member of HTI Group

Hanoi Head Office: 12F-VP2, Sun Square Building, 21 Le Duc Tho street, Tu Liem ward, Hanoi, Vietnam

Da Nang Branch: 5F, Vietnam Innovation Hub Building, 175 Tran Hung Dao street, An Hai ward, Da Nang City, Vietnam

Ho Chi Minh Branch: 203A Vo Thi Sau street, Xuan Hoa ward, Ho Chi Minh City, Vietnam

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Working hour: 8h30 – 17h30 on Monday – Friday,  8h30 – 12h on Saturday

Our services

Data decryption

Data destruction

Data breaches investigation consulting

Data recovery

Network security consulting

Electronic devices scanning

Newsletter

Follow us

fb
yt
lkn
All Rights Reserved © HTI Services 2022
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en
messenger
Zalo
Phone
0928765688

APPLICATION FORM

×
Click to select & upload your CV