勒索軟件再次成為新聞。據(jù)報(bào)道,攻擊者以醫(yī)療保健工作者為目標(biāo),并利用偽裝成會(huì)議邀請(qǐng)或發(fā)票的文件進(jìn)行具有針對(duì)性的網(wǎng)絡(luò)釣魚行為,這些文件包含指向谷歌文檔的鏈接,然后跳轉(zhuǎn)至含有簽名的可執(zhí)行文件鏈接的PDF文件,這些可執(zhí)行文件的名稱帶有“預(yù)覽(preview)”和“測(cè)試(test)”等特殊詞。
一旦勒索軟件進(jìn)入某一系統(tǒng),攻擊者就會(huì)找到我們網(wǎng)絡(luò)中那些唾手可得的信息,以進(jìn)行橫向移動(dòng),造成更大的破壞。這樣的簡(jiǎn)單入侵行為是可以避免的,而且可能是由于舊的和被遺忘的設(shè)置或過期的策略所導(dǎo)致。以下將介紹您應(yīng)如何來檢查Windows網(wǎng)絡(luò)的七個(gè)常見漏洞,以及如何防止勒索軟件攻擊者讓您和您的團(tuán)隊(duì)陷入尷尬。
1. 密碼存儲(chǔ)在組策略首選項(xiàng)中
您是否曾經(jīng)在組策略首選項(xiàng)中存儲(chǔ)過密碼?2014年,MS14-025公告修補(bǔ)了組策略首選項(xiàng)的漏洞,并刪除了這種不安全地存儲(chǔ)密碼的功能,但并沒有刪除密碼。勒索軟件攻擊者使用PowerShell腳本的Get-GPPPassword函數(shù)來獲取遺留的密碼。
查看您的組策略首選項(xiàng),以確認(rèn)您的組織機(jī)構(gòu)是否曾經(jīng)以這種方式存儲(chǔ)密碼。想想您是否在某個(gè)時(shí)間將一些憑證留在腳本或批處理文件中。檢查您的管理流程,以了解在未受保護(hù)的記事本文件、便簽本位置等是否保存有密碼。
2.使用遠(yuǎn)程桌面協(xié)議
您還在使用不安全且不受保護(hù)的遠(yuǎn)程桌面協(xié)議(RDP)嗎?我仍然看到一些報(bào)告,其中攻擊者利用暴力破解和所收集的憑證闖入在網(wǎng)絡(luò)中開放的遠(yuǎn)程桌面協(xié)議。通過遠(yuǎn)程桌面設(shè)置服務(wù)器、虛擬機(jī)甚至Azure服務(wù)器是非常容易的。啟用遠(yuǎn)程桌面而不采取最低限度的保護(hù)措施(例如制約或限制對(duì)特定靜態(tài)IP地址的訪問,不使用RDgateway防護(hù)措施來保護(hù)連接,或未設(shè)置雙因素身份驗(yàn)證),這意味著您面臨著攻擊者控制您網(wǎng)絡(luò)的極高風(fēng)險(xiǎn)。請(qǐng)記住,您可以將Duo.com等軟件安裝到本地計(jì)算機(jī)上,以更好地保護(hù)遠(yuǎn)程桌面。
3.密碼重復(fù)使用
您或您的用戶多久重復(fù)使用一次密碼?攻擊者可以訪問在線數(shù)據(jù)轉(zhuǎn)儲(chǔ)位置來獲取密碼。了解到我們經(jīng)常重復(fù)使用密碼,攻擊者會(huì)使用這些憑證以各種攻擊序列來攻擊網(wǎng)站和帳戶,以及域和Microsoft 365 Access。
前幾天有人說:“攻擊者在這些日子不會(huì)發(fā)動(dòng)攻擊,而是會(huì)進(jìn)行登錄。”確保在組織機(jī)構(gòu)中已啟用多因素身份驗(yàn)證,這是阻止這種攻擊方式的關(guān)鍵。使用密碼管理器程序可以鼓勵(lì)用戶使用更好和更獨(dú)特的密碼。此外,許多密碼管理器會(huì)在用戶重復(fù)使用用戶名和密碼組合時(shí)進(jìn)行提示。
4.權(quán)限升級(jí)漏洞未進(jìn)行修補(bǔ)
您是否使攻擊者橫向移動(dòng)變得容易?近期,攻擊者一直在使用多種方式進(jìn)行橫向移動(dòng),例如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞,以提升那些沒有安裝8月份(或更新版本)安全補(bǔ)丁程序的域控制器的權(quán)限。微軟公司最近表示,攻擊者目前正試圖利用此漏洞。
5.啟用SMBv1協(xié)議
即使您為已知的服務(wù)器消息塊版本1(SMBv1)漏洞安裝了所有補(bǔ)丁程序,攻擊者也可能會(huì)利用其他漏洞。當(dāng)您安裝了Windows 10 1709或更高版本時(shí),默認(rèn)情況下不啟用SMBv1協(xié)議。如果SMBv1客戶端或服務(wù)器在15天內(nèi)未被使用(不包括計(jì)算機(jī)關(guān)閉的時(shí)間),則Windows 10會(huì)自動(dòng)卸載該協(xié)議。
SMBv1協(xié)議已有30多年的歷史,您應(yīng)該放棄使用了。有多種方法可以從網(wǎng)絡(luò)中禁用和刪除SMBv1協(xié)議,例如組策略、PowerShell和注冊(cè)表鍵值。
6.電子郵件保護(hù)措施不足
您是否已竭盡所能確保電子郵件(攻擊者的關(guān)鍵入口)免受威脅?攻擊者經(jīng)常通過垃圾郵件進(jìn)入網(wǎng)絡(luò)。所有組織機(jī)構(gòu)都應(yīng)使用電子郵件安全服務(wù)來掃描和檢查進(jìn)入您網(wǎng)絡(luò)的信息。在電子郵件服務(wù)器前設(shè)置一個(gè)過濾流程。無論該過濾器是Office 365高級(jí)威脅防護(hù)(ATP)還是第三方解決方案,在電子郵件之前設(shè)置一項(xiàng)服務(wù)來評(píng)估電子郵件發(fā)件人的信譽(yù),掃描鏈接和檢查內(nèi)容。檢查之前已設(shè)置的所有電子郵件的安全狀況。如果您使用的是Office / Microsoft 365,請(qǐng)查看安全分?jǐn)?shù)和ATP設(shè)置。
7.用戶未經(jīng)培訓(xùn)
最后但并非最不重要的一點(diǎn)是,請(qǐng)確保您的員工擁有足夠的認(rèn)識(shí)。即使進(jìn)行了所有適當(dāng)?shù)腁TP設(shè)置,惡意電子郵件也經(jīng)常進(jìn)入我的收件箱。稍有偏執(zhí)和受過良好教育的終端用戶可以成為您最后一道防火墻,以確保惡意攻擊不會(huì)進(jìn)入您的系統(tǒng)。ATP包含一些測(cè)試,以了解您的用戶是否會(huì)遭受網(wǎng)絡(luò)釣魚攻擊。
特洛伊·亨特(Troy Hunt)最近寫了一篇文章,關(guān)于瀏覽器中使用的字體如何常常讓人們難以判斷哪一個(gè)是好網(wǎng)站和壞網(wǎng)站。他指出,密碼管理器將自動(dòng)驗(yàn)證網(wǎng)站,并只會(huì)為那些與您數(shù)據(jù)庫(kù)匹配的網(wǎng)站填寫密碼。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。