信息化觀察網(wǎng)

不要讓勒索軟件攻擊者輕易得手?，F(xiàn)在檢查一下您的Windows網(wǎng)絡是否存在下述問題，您可能會對發(fā)現(xiàn)的結果大吃一驚。

最近，勒索軟件再次登上頭版頭條。據(jù)報道，攻擊者將目標瞄準醫(yī)療保健提供者，并使用偽裝成會議邀請或發(fā)票的文件進行針對性的網(wǎng)絡釣魚活動，這些文件包含指向谷歌文檔的鏈接，然后跳轉至含有簽名的可執(zhí)行文件鏈接的PDF文件，這些可執(zhí)行文件的名稱帶有“預覽（preview）”和“測試（test）”等特殊詞。

一旦勒索軟件進入某一系統(tǒng)，攻擊者就會捕獲我們在網(wǎng)絡上留下的那些珍貴的機密信息，以進行橫向移動并造成更大的破壞。這樣的簡單易得手的非法訪問行為實際上是可以避免的，而且可能是由于舊的和被遺忘的設置或過期的策略所導致的。您可以通過以下方法來檢查Windows中常見的七個不良習慣，并防止勒索軟件攻擊者讓您和您的團隊陷入難堪。

七大不良習慣

1.密碼存儲在組策略首選項中

首先，問一問自己，您是否曾經(jīng)在組策略首選項中存儲過密碼？2014年，MS14-025修補了組策略首選項的漏洞，并刪除了這種不安全地存儲密碼的功能，但卻并未刪除密碼。之后，勒索軟件攻擊者使用PowerShell腳本的Get-GPPPassword函數(shù)獲取到了遺留的密碼。

安全建議

查看您的組策略首選項，以確認您的企業(yè)組織是否曾經(jīng)以這種方式存儲過密碼。想想您有沒有在其他任何時間將一些憑據(jù)留在腳本或批處理文件中。查看您的管理流程，以了解在記事本文件、便簽本位置和其他未受保護的文件中是否遺留有密碼。

2.使用遠程桌面協(xié)議（RDP）

您是否仍在使用不安全且不受保護的遠程桌面協(xié)議（RDP）？如今，我們仍然可以看到這樣一些報告，其中攻擊者使用暴力破解和獲取到的憑據(jù)闖入了網(wǎng)絡中開放的遠程桌面協(xié)議。通過遠程桌面設置服務器、虛擬機甚至Azure服務器都是非常容易的一件事。啟用遠程桌面而不采取最低限度的保護措施，例如制約或限制對特定靜態(tài)IP地址的訪問，不使用RDgateway防護措施來保護連接，或未設置雙因素身份驗證等，這意味著您很容易遭受攻擊者控制您網(wǎng)絡的風險。

安全建議

請記住，您可以將Duo.com之類的軟件安裝到本地計算機上，以更好地保護遠程桌面。

3.密碼重復使用

您或您的用戶多久重復使用一次密碼？攻擊者可以訪問在線數(shù)據(jù)轉儲位置中已獲取的密碼。了解到我們經(jīng)常重復使用密碼，攻擊者就會使用這些憑證，以各種攻擊序列對網(wǎng)站和帳戶以及域和Microsoft 365 Access進行攻擊。

安全建議

確保在企業(yè)組織中啟用多因素身份驗證是阻止這種攻擊方式的關鍵。使用密碼管理器程序可以鼓勵用戶使用更好和更獨特的密碼。此外，許多密碼管理器會在用戶重復使用用戶名和密碼組合時進行提示。

4.未修補的權限提升漏洞

您是否在一定程度上助力了攻擊者橫向移動的行為？近期，攻擊者一直在使用多種方式進行橫向移動，例如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升那些沒有安裝2020年“8月份”（或更新版本）安全補丁程序的域控制器的權限。微軟公司最近表示，攻擊者現(xiàn)在正試圖利用該漏洞實施攻擊。

安全建議

及時安裝補丁，保持軟件處于最新狀態(tài)。

5.啟用SMBv1協(xié)議

即使您為已知的服務器消息塊版本1（SMBv1）漏洞安裝了所有補丁程序，攻擊者仍有可能會利用其他漏洞。當您安裝Windows 10版本1709系列或更高版本時，默認情況下不啟用SMBv1協(xié)議。如果SMBv1客戶端或服務器在15天內未被使用（計算機關閉的時間除外），那么Windows 10就會自動卸載該協(xié)議。

安全建議

SMBv1協(xié)議已有30多年的歷史，您應該立即停止使用它。有多種方法可以從網(wǎng)絡中禁用和刪除SMBv1協(xié)議，例如組策略、PowerShell和注冊表項。

6.電子郵件保護措施不充分

您是否已盡一切可能確保電子郵件（攻擊者的關鍵入口）受到合理保護，免受威脅困擾？攻擊者經(jīng)常通過垃圾郵件進入網(wǎng)絡。安全公司的調查數(shù)據(jù)顯示，垃圾/釣魚郵件現(xiàn)在主要不是為了竊取用戶信息，而是傳播勒索軟件，進而勒索受害者。

導致這一趨勢的原因是勒索軟件越來越容易發(fā)送，攻擊者能更快的獲取投資回報。而基于釣魚郵件的網(wǎng)絡攻擊需要更多的時間才能獲利。舉例來說，竊取到的信用卡號碼必須在信用卡被取消前出售和使用，竊取到的身份信息獲得回報需要更多的時間。

安全建議

所有企業(yè)組織都應該使用電子郵件安全服務來掃描和檢查進入您網(wǎng)絡的郵件。在電子郵件服務器前設置一個過濾流程。無論該過濾器是Office 365高級威脅防護（ATP）還是第三方解決方案，在電子郵件之前設置一項服務來評估電子郵件發(fā)件人的信譽，掃描鏈接和檢查內容。檢查之前已設置的所有電子郵件的安全狀況。如果您使用的是Office/Microsoft 365，請查看安全分數(shù)和ATP設置。

7.未經(jīng)培訓的用戶

最后也是尤為重要的一點是，請確保您的員工不是“最薄弱的環(huán)節(jié)”。即使進行了所有適當?shù)腁TP設置，惡意電子郵件也經(jīng)常能夠進入我的收件箱。輕度偏執(zhí)/強迫癥且受過良好教育的終端用戶可能會成為您最后一道防火墻，以確保惡意攻擊不會進入您的系統(tǒng)。ATP包含一些測試，以了解您的用戶是否會遭受網(wǎng)絡釣魚攻擊。

(Troy Hunt最近寫了一篇文章，談論瀏覽器中使用的字體如何常常讓人們難以判斷哪一個是好網(wǎng)站和壞網(wǎng)站。他指出，密碼管理器將自動驗證網(wǎng)站，并只會為那些與您數(shù)據(jù)庫匹配的網(wǎng)站填寫密碼。

本文翻譯自：https://www.csoonline.com/article/3596300/7-dumb-ways-to-be-a-ransomware-victim-and-how-to-avoid-them.html如