【安全资讯】研究人员通过蜜罐捕获黑客对工业控制网络的攻击活动

近年来，针对关键基础设施的攻击急剧增加。今年，葡萄牙最大的能源供应商EDP成为了勒索软件攻击的受害者，以色列供水系统也遭到大规模网络攻击。为了了解清楚不法分子的攻击行为，安全人员通过部署蜜罐对这种情况进行研究。

在这项新的研究中，研究人员识别出了多个攻击行为，包括数据盗窃、用户证书盗窃，通过受害者网络的横向移动，以及进行勒索操作。
勒索软件攻击首先利用可公开访问的远程管理界面获得初始访问，暴力破解管理员的帐户密码尝试远程登录。一旦能够登录，攻击者就上传并执行一个PowerShell脚本，该脚本使用net.exe命令创建一个后门用户“admin”。并且上传多种工具，如：使用Mimikatz窃取用户凭证，利用网络扫描器发现网络上的其他端点然后进行横向移动，这些活动完成后运行勒索软件。