信息化觀(guān)察網(wǎng)

不要讓勒索軟件攻擊者輕易得手。現(xiàn)在檢查一下您的Windows網(wǎng)絡(luò)是否存在下述問(wèn)題，您可能會(huì)對(duì)發(fā)現(xiàn)的結(jié)果大吃一驚。

最近，勒索軟件再次登上頭版頭條。據(jù)報(bào)道，攻擊者將目標(biāo)瞄準(zhǔn)醫(yī)療保健提供者，并使用偽裝成會(huì)議邀請(qǐng)或發(fā)票的文件進(jìn)行針對(duì)性的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，這些文件包含指向谷歌文檔的鏈接，然后跳轉(zhuǎn)至含有簽名的可執(zhí)行文件鏈接的PDF文件，這些可執(zhí)行文件的名稱(chēng)帶有“預(yù)覽（preview）”和“測(cè)試（test）”等特殊詞。

一旦勒索軟件進(jìn)入某一系統(tǒng)，攻擊者就會(huì)捕獲我們?cè)诰W(wǎng)絡(luò)上留下的那些珍貴的機(jī)密信息，以進(jìn)行橫向移動(dòng)并造成更大的破壞。這樣的簡(jiǎn)單易得手的非法訪(fǎng)問(wèn)行為實(shí)際上是可以避免的，而且可能是由于舊的和被遺忘的設(shè)置或過(guò)期的策略所導(dǎo)致的。您可以通過(guò)以下方法來(lái)檢查Windows中常見(jiàn)的七個(gè)不良習(xí)慣，并防止勒索軟件攻擊者讓您和您的團(tuán)隊(duì)陷入難堪。

七大不良習(xí)慣

1.密碼存儲(chǔ)在組策略首選項(xiàng)中

首先，問(wèn)一問(wèn)自己，您是否曾經(jīng)在組策略首選項(xiàng)中存儲(chǔ)過(guò)密碼？2014年，MS14-025修補(bǔ)了組策略首選項(xiàng)的漏洞，并刪除了這種不安全地存儲(chǔ)密碼的功能，但卻并未刪除密碼。之后，勒索軟件攻擊者使用PowerShell腳本的Get-GPPPassword函數(shù)獲取到了遺留的密碼。

安全建議

查看您的組策略首選項(xiàng)，以確認(rèn)您的企業(yè)組織是否曾經(jīng)以這種方式存儲(chǔ)過(guò)密碼。想想您有沒(méi)有在其他任何時(shí)間將一些憑據(jù)留在腳本或批處理文件中。查看您的管理流程，以了解在記事本文件、便簽本位置和其他未受保護(hù)的文件中是否遺留有密碼。

2.使用遠(yuǎn)程桌面協(xié)議（RDP）

您是否仍在使用不安全且不受保護(hù)的遠(yuǎn)程桌面協(xié)議（RDP）？如今，我們?nèi)匀豢梢钥吹竭@樣一些報(bào)告，其中攻擊者使用暴力破解和獲取到的憑據(jù)闖入了網(wǎng)絡(luò)中開(kāi)放的遠(yuǎn)程桌面協(xié)議。通過(guò)遠(yuǎn)程桌面設(shè)置服務(wù)器、虛擬機(jī)甚至Azure服務(wù)器都是非常容易的一件事。啟用遠(yuǎn)程桌面而不采取最低限度的保護(hù)措施，例如制約或限制對(duì)特定靜態(tài)IP地址的訪(fǎng)問(wèn)，不使用RDgateway防護(hù)措施來(lái)保護(hù)連接，或未設(shè)置雙因素身份驗(yàn)證等，這意味著您很容易遭受攻擊者控制您網(wǎng)絡(luò)的風(fēng)險(xiǎn)。

安全建議

請(qǐng)記住，您可以將Duo.com之類(lèi)的軟件安裝到本地計(jì)算機(jī)上，以更好地保護(hù)遠(yuǎn)程桌面。

3.密碼重復(fù)使用

您或您的用戶(hù)多久重復(fù)使用一次密碼？攻擊者可以訪(fǎng)問(wèn)在線(xiàn)數(shù)據(jù)轉(zhuǎn)儲(chǔ)位置中已獲取的密碼。了解到我們經(jīng)常重復(fù)使用密碼，攻擊者就會(huì)使用這些憑證，以各種攻擊序列對(duì)網(wǎng)站和帳戶(hù)以及域和Microsoft 365 Access進(jìn)行攻擊。

安全建議

確保在企業(yè)組織中啟用多因素身份驗(yàn)證是阻止這種攻擊方式的關(guān)鍵。使用密碼管理器程序可以鼓勵(lì)用戶(hù)使用更好和更獨(dú)特的密碼。此外，許多密碼管理器會(huì)在用戶(hù)重復(fù)使用用戶(hù)名和密碼組合時(shí)進(jìn)行提示。

4.未修補(bǔ)的權(quán)限提升漏洞

您是否在一定程度上助力了攻擊者橫向移動(dòng)的行為？近期，攻擊者一直在使用多種方式進(jìn)行橫向移動(dòng)，例如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升那些沒(méi)有安裝2020年“8月份”（或更新版本）安全補(bǔ)丁程序的域控制器的權(quán)限。微軟公司最近表示，攻擊者現(xiàn)在正試圖利用該漏洞實(shí)施攻擊。

安全建議

及時(shí)安裝補(bǔ)丁，保持軟件處于最新?tīng)顟B(tài)。

5.啟用SMBv1協(xié)議

即使您為已知的服務(wù)器消息塊版本1（SMBv1）漏洞安裝了所有補(bǔ)丁程序，攻擊者仍有可能會(huì)利用其他漏洞。當(dāng)您安裝Windows 10版本1709系列或更高版本時(shí)，默認(rèn)情況下不啟用SMBv1協(xié)議。如果SMBv1客戶(hù)端或服務(wù)器在15天內(nèi)未被使用（計(jì)算機(jī)關(guān)閉的時(shí)間除外），那么Windows 10就會(huì)自動(dòng)卸載該協(xié)議。

安全建議

SMBv1協(xié)議已有30多年的歷史，您應(yīng)該立即停止使用它。有多種方法可以從網(wǎng)絡(luò)中禁用和刪除SMBv1協(xié)議，例如組策略、PowerShell和注冊(cè)表項(xiàng)。

6.電子郵件保護(hù)措施不充分

您是否已盡一切可能確保電子郵件（攻擊者的關(guān)鍵入口）受到合理保護(hù)，免受威脅困擾？攻擊者經(jīng)常通過(guò)垃圾郵件進(jìn)入網(wǎng)絡(luò)。安全公司的調(diào)查數(shù)據(jù)顯示，垃圾/釣魚(yú)郵件現(xiàn)在主要不是為了竊取用戶(hù)信息，而是傳播勒索軟件，進(jìn)而勒索受害者。

導(dǎo)致這一趨勢(shì)的原因是勒索軟件越來(lái)越容易發(fā)送，攻擊者能更快的獲取投資回報(bào)。而基于釣魚(yú)郵件的網(wǎng)絡(luò)攻擊需要更多的時(shí)間才能獲利。舉例來(lái)說(shuō)，竊取到的信用卡號(hào)碼必須在信用卡被取消前出售和使用，竊取到的身份信息獲得回報(bào)需要更多的時(shí)間。

安全建議

所有企業(yè)組織都應(yīng)該使用電子郵件安全服務(wù)來(lái)掃描和檢查進(jìn)入您網(wǎng)絡(luò)的郵件。在電子郵件服務(wù)器前設(shè)置一個(gè)過(guò)濾流程。無(wú)論該過(guò)濾器是Office 365高級(jí)威脅防護(hù)（ATP）還是第三方解決方案，在電子郵件之前設(shè)置一項(xiàng)服務(wù)來(lái)評(píng)估電子郵件發(fā)件人的信譽(yù)，掃描鏈接和檢查內(nèi)容。檢查之前已設(shè)置的所有電子郵件的安全狀況。如果您使用的是Office/Microsoft 365，請(qǐng)查看安全分?jǐn)?shù)和ATP設(shè)置。

7.未經(jīng)培訓(xùn)的用戶(hù)

最后也是尤為重要的一點(diǎn)是，請(qǐng)確保您的員工不是“最薄弱的環(huán)節(jié)”。即使進(jìn)行了所有適當(dāng)?shù)腁TP設(shè)置，惡意電子郵件也經(jīng)常能夠進(jìn)入我的收件箱。輕度偏執(zhí)/強(qiáng)迫癥且受過(guò)良好教育的終端用戶(hù)可能會(huì)成為您最后一道防火墻，以確保惡意攻擊不會(huì)進(jìn)入您的系統(tǒng)。ATP包含一些測(cè)試，以了解您的用戶(hù)是否會(huì)遭受網(wǎng)絡(luò)釣魚(yú)攻擊。

(Troy Hunt最近寫(xiě)了一篇文章，談?wù)摓g覽器中使用的字體如何常常讓人們難以判斷哪一個(gè)是好網(wǎng)站和壞網(wǎng)站。他指出，密碼管理器將自動(dòng)驗(yàn)證網(wǎng)站，并只會(huì)為那些與您數(shù)據(jù)庫(kù)匹配的網(wǎng)站填寫(xiě)密碼。

本文翻譯自：https://www.csoonline.com/article/3596300/7-dumb-ways-to-be-a-ransomware-victim-and-how-to-avoid-them.html如