安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

1. 名为LockFile的勒索软件团伙利用最近发现的PetitPotam NTLM中继攻击方法来占领全球各种网络上的Windows 域（8月20日）

LockFile是一个新的勒索软件团伙，该团伙于今年7月首次出现。LockFile的攻击主要发生在美国和亚洲，受害者包括以下行业：金融服务、制造、工程、法律、商业服务、旅行和旅游。

详细信息：

安全研究人员表示，攻击者最初通过Microsoft Exchange服务器访问网络的，但目前尚不清楚确切的方法。接下来，攻击者利用新的PetitPotam方法接管组织的域控制器，该方法强制对LockFile控制下的远程NTLM中继进行身份验证。

LockFile攻击者依赖公开可用的代码来利用原始的PetitPotam变体（CVE-2021-36942）。尽管微软一直试图阻止PetitPotam的变体，但官方的缓解措施和更新并未完全阻止PetitPotam攻击。一旦攻击者成功接管域控制器，他们就可以有效地控制整个Windows域并可以运行他们希望的任何命令。

参考链接：

https://www.bleepingcomputer.com/news/security/lockfile-ransomware-uses-petitpotam-attack-to-hijack-windows-domains/