IT之家 9 月 21 日消息，Huntress 安全團(tuán)隊(duì)本周一披露了一起有趣的黑客攻擊案例，其客戶因安全意識不足而遭受 Akira 勒索組織入侵，給部分企業(yè)好好上了一課。

據(jù)稱，該公司的某個工程師直接將其賬戶的 MFA 恢復(fù)代碼以明文形式存儲在桌面上的純文本文件中，導(dǎo)致黑客通過 SonicWall 登陸后直接使用這一代碼繞過 MFA，不費(fèi)吹灰之力入侵了其主機(jī)。

Huntress 安全團(tuán)隊(duì)稱，攻擊者利用這些恢復(fù)代碼進(jìn)入 Huntress 門戶后，關(guān)閉活躍的安全事件報(bào)告、取消隔離主機(jī)，甚至嘗試卸載 Huntress 代理。

Huntress 方面發(fā)現(xiàn)安全工程師賬戶在處理告警后，與客戶確認(rèn)，得到的答復(fù)是相關(guān)操作并非工程師本人執(zhí)行，從而才導(dǎo)致黑客暴露。

通過關(guān)閉告警，攻擊者得以在受害環(huán)境中長時間隱藏活動，并嘗試移除終端安全工具。同時，黑客還竊取了公司登陸憑據(jù)，冒充高權(quán)限用戶維持持續(xù)訪問，并在網(wǎng)絡(luò)中投放勒索軟件。

所以，類似的 MFA 恢復(fù)代碼和憑據(jù)絕不應(yīng)以明文方式存儲。IT之家建議使用帶有強(qiáng)密碼短語的加密密碼管理器，并禁用自動填充功能。

如果無法使用數(shù)字密碼管理器，應(yīng)將敏感信息存放在加密的 USB 或硬盤中，文件需額外設(shè)置密碼保護(hù)。

如果有必要的話，安全維護(hù)人員應(yīng)定期更換恢復(fù)代碼，并監(jiān)控日志中的異常登錄行為，即便這些登錄請求看似來自組織內(nèi)部。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。