【安全资讯】一次暴力破解攻击如何揭开勒索软件基础设施网络的面纱

概要：

在网络安全防御中，暴露在互联网上的远程桌面协议（RDP）服务器遭受暴力破解攻击已是司空见惯。然而，Huntress战术响应团队近期处理的一起看似常规的警报，却意外揭开了一个庞大且地理分布广泛的勒索软件即服务（RaaS）生态系统及其初始访问代理（IAB）的运营网络。这起事件凸显了深入调查日常安全警报背后可能隐藏的复杂犯罪基础设施的重要性。

主要内容：

事件始于Huntress安全运营中心（SOC）收到针对一台暴露在公网的RDP服务器的暴力破解警报。调查发现，攻击者成功破解了一个账户凭证。与典型入侵不同，该账户的登录记录来自多个IP地址，这引起了分析师的警觉。

进一步调查显示，攻击者进入网络后，并未立即使用Mimikatz等工具窃取系统凭证，而是采取了非典型手段——手动使用记事本程序搜索和打开网络共享中的文本文件，以寻找可能存储的密码。这种非常规的操作手法促使团队对攻击源IP进行深入追溯。

通过分析相关IP的TLS证书，团队发现了一个恶意域名specialsseason[.]com，并以此为线索，顺藤摸瓜关联出大量采用“NL-<国家代码>”命名规则的子域名，其基础设施遍布全球多国。进一步的证书指纹关联还发现了与勒索软件组织Hive和BlackSuite有关的IP，以及一个仿冒合法VPN服务的恶意域名1vpns[.]com。

此次调查揭示了一个疑似为初始访问代理服务的庞大基础设施网络。攻击者的核心动机是尽可能多地获取凭证材料。该案例表明，即使面对常见的攻击手法，通过“放大视角”进行深入的基础设施关联分析，也能从单一事件中揭露背后完整的犯罪生态链，为防御提供更深刻的洞察。