思科数据泄露 - 勒索软件组织涉嫌入侵内部网络并泄露广告

事件背景
近日，网络安全领域再掀波澜。据暗网监测信息显示，Kraken勒索软件组织公开宣称已窃取思科内部网络的敏感凭证数据，泄露内容包括域用户账户列表、相对标识符（RID）、NTLM密码哈希等核心信息。更令人担忧的是，泄露数据中涉及特权管理员账户（如Administrator:500）、普通用户（如cisco.comcarriep）、域控制器关联的服务账户（如ADC-SYD-P-1$），甚至包含Kerberos票证授予账户（krbtgt）的哈希值[citation:用户提供]。若攻击者利用这些信息伪造身份令牌，可能导致域内权限完全失控。

技术细节与潜在风险

1. 1. 漏洞利用与攻击路径
   泄露数据的格式表明，攻击者可能通过Mimikatz、pwdump等工具提取了域环境中的凭证。结合近期思科披露的身份服务引擎（ISE）漏洞（CVE-2025-20124/CVE-2025-20125），攻击者可能通过反序列化漏洞或权限绕过漏洞获取只读管理权限，进而窃取哈希值。
2. 2. NTLM哈希泄露的连锁反应
   NTLM哈希是Windows域认证的核心凭据，一旦泄露，攻击者可发起NTLM中继攻击，例如将哈希转发至其他服务以伪造身份（如近期微软CVE-2023-23397漏洞中，俄罗斯黑客通过Outlook日历触发SMB连接窃取哈希）。此外，若攻击者获取krbtgt账户哈希，可生成“黄金票证”，长期控制整个域环境[citation:用户提供]。
3. 3. 横向渗透与勒索威胁
   Kraken组织可能利用窃取的凭证横向移动，结合Impacket、PowerShell Empire等工具进一步渗透内网，甚至部署勒索软件。此前思科ISE漏洞的远程命令执行能力（CVSS 9.9）已为攻击者提供了“一键接管”设备的可能性。

企业防御建议

1. 1. 紧急修补与凭证保护
• • 立即升级思科ISE至修复版本（如3.1P10、3.2P7等），阻断CVE-2025-20124/20125的利用路径。
• • 强化域管理员账户的凭证管理，启用多因素认证（MFA），并定期轮换krbtgt账户密码[citation:用户提供]。
2. 2. NTLM协议的替代与限制
• • 遵循微软建议，逐步弃用NTLM协议，改用Kerberos认证，并禁用TCP 445端口出站流量。
• • 部署网络监控工具，检测异常SMB连接或哈希转发行为。
3. 3. 应急响应与威胁狩猎
• • 使用微软提供的脚本（如CVE-2023-23397检测工具）扫描内网，排查潜在的中继攻击痕迹。
• • 对域控制器日志进行深度分析，重点关注异常账户活动或哈希提取行为[citation:用户提供]。

结语
此次事件再次暴露了特权凭证保护与老旧协议依赖的双重风险。企业需将漏洞修复、协议升级与主动威胁狩猎结合，构建纵深防御体系。正如思科在漏洞公告中强调：“网络安全是动态过程，静态防御终将失效。”

立即行动，莫让哈希成为黑客的“黄金门票”！

参考来源：思科安全公告、微软漏洞通报、第三方安全研究。