勒索軟件最近再次出現(xiàn)在新聞中。據(jù)報(bào)道,黑客們的目標(biāo)是醫(yī)療服務(wù)提供者,他們通過(guò)偽裝成會(huì)議邀請(qǐng)或發(fā)票的釣魚活動(dòng),將谷歌文件鏈接到pdf文件中,這些文件鏈接到簽名的可執(zhí)行文件,這些可執(zhí)行文件的名稱帶有“ preview”和“ test”等特殊單詞。
一旦勒索軟件進(jìn)入系統(tǒng),攻擊者就會(huì)追捕我們網(wǎng)絡(luò)上留下的低垂的果實(shí),以橫向移動(dòng)并造成更大的破壞。這種簡(jiǎn)單的訪問(wèn)是可以避免的,并且可能是由于過(guò)時(shí)的設(shè)置、被遺忘的設(shè)置或過(guò)時(shí)的策略而導(dǎo)致的。你可以通過(guò)以下方法檢查Windows的七個(gè)常見(jiàn)漏洞,防止勒索軟件攻擊者使你和你的團(tuán)隊(duì)難堪。
1.密碼存儲(chǔ)在組策略選項(xiàng)中
你是否曾經(jīng)在組策略首選項(xiàng)中存儲(chǔ)密碼?2014年,MS14-025修補(bǔ)了組策略首選項(xiàng),并刪除了不安全地存儲(chǔ)密碼的功能,但沒(méi)有刪除密碼。勒索軟件攻擊者使用PowerShell腳本Get-GPPPassword獲取遺留的密碼。
查看你的組策略首選項(xiàng),以查看你的組織是否曾經(jīng)以這種方式存儲(chǔ)密碼。想想你在腳本或批處理文件中留下憑據(jù)的任何其他時(shí)間。查看管理過(guò)程、記事本文件、暫存器位置和其他不受保護(hù)的文件中遺留的密碼。
2.使用遠(yuǎn)程桌面協(xié)議
你仍然使用不安全且不受保護(hù)的遠(yuǎn)程桌面協(xié)議(RDP)嗎?有報(bào)告顯示,攻擊者使用蠻力和收集的憑據(jù)闖入了開(kāi)放網(wǎng)絡(luò)的RDP。使用遠(yuǎn)程桌面設(shè)置服務(wù)器,虛擬機(jī)甚至Azure服務(wù)器非常容易。啟用遠(yuǎn)程桌面時(shí)至少?zèng)]有最低限度的保護(hù),例如限制對(duì)特定靜態(tài)IP地址的訪問(wèn),不使用RDgateway保護(hù)來(lái)保護(hù)連接或未設(shè)置雙因素身份驗(yàn)證,這意味著你面臨著遭受攻擊者控制網(wǎng)絡(luò)的風(fēng)險(xiǎn)。
3.密碼重復(fù)使用
你或你的用戶經(jīng)常重復(fù)使用密碼嗎?攻擊者可以訪問(wèn)在線數(shù)據(jù)轉(zhuǎn)儲(chǔ)位置中已獲取的密碼。知道我們經(jīng)常重復(fù)使用密碼,攻擊者會(huì)以各種攻擊序列的形式對(duì)網(wǎng)站和帳戶以及域和Microsoft 365訪問(wèn)使用這些憑據(jù)。
確保已在組織中啟用多因素身份驗(yàn)證是阻止此類攻擊的關(guān)鍵。使用密碼管理器程序可以鼓勵(lì)使用更好和更獨(dú)特的密碼。另外,許多密碼管理器會(huì)在用戶名和密碼重復(fù)組合時(shí)進(jìn)行標(biāo)記。
4. 未修補(bǔ)的特權(quán)升級(jí)漏洞
你能讓攻擊者輕松地橫向移動(dòng)嗎?最近,攻擊者一直在使用幾種方式進(jìn)行橫向移動(dòng),比如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞,以提升域控制器上的特權(quán),這些域控制器缺乏最新的安全補(bǔ)丁。微軟最近表示,攻擊者正在試圖利用這個(gè)漏洞。
5. 啟用SMBv1
即使您已經(jīng)為已知的服務(wù)器消息塊版本1 (SMBv1)漏洞應(yīng)用了所有補(bǔ)丁,攻擊者也可能有其他漏洞可以利用。當(dāng)安裝Windows 10 1709或更高版本時(shí),默認(rèn)情況下SMBv1是不啟用的。如果SMBv1客戶端或服務(wù)器15天不使用(不包括計(jì)算機(jī)關(guān)閉的時(shí)間),Windows 10會(huì)自動(dòng)卸載該協(xié)議。
SMBv1協(xié)議已經(jīng)有30多年的歷史了,你應(yīng)該放棄使用它。有多種方法可以從網(wǎng)絡(luò)禁用和刪除SMBv1,從組策略到PowerShell和注冊(cè)表鍵。
6. 電子郵件保護(hù)不足
你是否已經(jīng)竭盡所能確保你的電子郵件(攻擊者的關(guān)鍵入口)免受威脅?攻擊者經(jīng)常通過(guò)垃圾郵件進(jìn)入網(wǎng)絡(luò)。所有的組織都應(yīng)該使用電子郵件安全服務(wù)來(lái)掃描和審查進(jìn)入你網(wǎng)絡(luò)的信息。在你的電子郵件服務(wù)器前有一個(gè)過(guò)濾過(guò)程。無(wú)論這個(gè)過(guò)濾器是office365高級(jí)威脅保護(hù)(ATP)還是第三方解決方案,都應(yīng)該在你的電子郵件前提供一項(xiàng)服務(wù),以評(píng)估郵件發(fā)送者的聲譽(yù)、掃描鏈接和評(píng)論內(nèi)容。檢查你以前設(shè)置的電子郵件安全情況。如果你使用Office/Microsoft 365,請(qǐng)查看安全分?jǐn)?shù)和ATP設(shè)置。
7. 未經(jīng)培訓(xùn)的用戶
最后也是非常重要的一點(diǎn),確保對(duì)你的用戶進(jìn)行培訓(xùn)。惡意郵件經(jīng)常進(jìn)入我的收件箱,即使有所有適當(dāng)?shù)腁TP設(shè)置。稍微有點(diǎn)偏執(zhí)和受過(guò)教育的終端用戶都可以成為你的最終防火墻,以確保惡意攻擊不會(huì)進(jìn)入你的系統(tǒng)。ATP包括通過(guò)測(cè)試來(lái)看你的用戶是否會(huì)受到釣魚攻擊。
Troy Hunt最近寫了一篇文章,關(guān)于瀏覽器中如何通過(guò)使用的字體判斷是好網(wǎng)站還是惡意網(wǎng)站。他指出,密碼管理器將自動(dòng)驗(yàn)證網(wǎng)站,并提議只為那些與你的數(shù)據(jù)庫(kù)匹配的網(wǎng)站填寫密碼。