某工程师在桌面上以明文存储 MFA 恢复代码，导致整个组织被攻陷

感谢本站网友 Coje_He 的线索投递！

本站 9 月 21 日消息，Huntress 安全团队本周一披露了一起有趣的黑客攻击案例，其客户因安全意识不足而遭受 Akira 勒索组织入侵，给部分企业好好上了一课。

据称，该公司的某个工程师直接将其账户的 MFA 恢复代码以明文形式存储在桌面上的纯文本文件中，导致黑客通过 SonicWall 登陆后直接使用这一代码绕过 MFA，不费吹灰之力入侵了其主机。

Huntress 安全团队称，攻击者利用这些恢复代码进入 Huntress 门户后，关闭活跃的安全事件报告、取消隔离主机，甚至尝试卸载 Huntress 代理。

Huntress 方面发现安全工程师账户在处理告警后，与客户确认，得到的答复是相关操作并非工程师本人执行，从而才导致黑客暴露。

通过关闭告警，攻击者得以在受害环境中长时间隐藏活动，并尝试移除终端安全工具。同时，黑客还窃取了公司登陆凭据，冒充高权限用户维持持续访问，并在网络中投放勒索软件。

所以，类似的 MFA 恢复代码和凭据绝不应以明文方式存储。本站建议使用带有强密码短语的加密密码管理器，并禁用自动填充功能。

如果无法使用数字密码管理器，应将敏感信息存放在加密的 USB 或硬盘中，文件需额外设置密码保护。

如果有必要的话，安全维护人员应定期更换恢复代码，并监控日志中的异常登录行为，即便这些登录请求看似来自组织内部。