勒索軟件再次成為新聞。據報道,攻擊者以醫療保健工作者為目標,并利用偽裝成會議邀請或發票的文件進行具有針對性的網絡釣魚行為,這些文件包含指向谷歌文檔的鏈接,然后跳轉至含有簽名的可執行文件鏈接的PDF文件,這些可執行文件的名稱帶有“預覽(preview)”和“測試(test)”等特殊詞。
一旦勒索軟件進入某一系統,攻擊者就會找到我們網絡中那些唾手可得的信息,以進行橫向移動,造成更大的破壞。這樣的簡單入侵行為是可以避免的,而且可能是由于舊的和被遺忘的設置或過期的策略所導致。以下將介紹您應如何來檢查Windows網絡的七個常見漏洞,以及如何防止勒索軟件攻擊者讓您和您的團隊陷入尷尬。
1. 密碼存儲在組策略首選項中
您是否曾經在組策略首選項中存儲過密碼?2014年,MS14-025公告修補了組策略首選項的漏洞,并刪除了這種不安全地存儲密碼的功能,但并沒有刪除密碼。勒索軟件攻擊者使用PowerShell腳本的Get-GPPPassword函數來獲取遺留的密碼。
查看您的組策略首選項,以確認您的組織機構是否曾經以這種方式存儲密碼。想想您是否在某個時間將一些憑證留在腳本或批處理文件中。檢查您的管理流程,以了解在未受保護的記事本文件、便簽本位置等是否保存有密碼。
2.使用遠程桌面協議
您還在使用不安全且不受保護的遠程桌面協議(RDP)嗎?我仍然看到一些報告,其中攻擊者利用暴力破解和所收集的憑證闖入在網絡中開放的遠程桌面協議。通過遠程桌面設置服務器、虛擬機甚至Azure服務器是非常容易的。啟用遠程桌面而不采取最低限度的保護措施(例如制約或限制對特定靜態IP地址的訪問,不使用RDgateway防護措施來保護連接,或未設置雙因素身份驗證),這意味著您面臨著攻擊者控制您網絡的極高風險。請記住,您可以將Duo.com等軟件安裝到本地計算機上,以更好地保護遠程桌面。
3.密碼重復使用
您或您的用戶多久重復使用一次密碼?攻擊者可以訪問在線數據轉儲位置來獲取密碼。了解到我們經常重復使用密碼,攻擊者會使用這些憑證以各種攻擊序列來攻擊網站和帳戶,以及域和Microsoft 365 Access。
前幾天有人說:“攻擊者在這些日子不會發動攻擊,而是會進行登錄。”確保在組織機構中已啟用多因素身份驗證,這是阻止這種攻擊方式的關鍵。使用密碼管理器程序可以鼓勵用戶使用更好和更獨特的密碼。此外,許多密碼管理器會在用戶重復使用用戶名和密碼組合時進行提示。
4.權限升級漏洞未進行修補
您是否使攻擊者橫向移動變得容易?近期,攻擊者一直在使用多種方式進行橫向移動,例如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞,以提升那些沒有安裝8月份(或更新版本)安全補丁程序的域控制器的權限。微軟公司最近表示,攻擊者目前正試圖利用此漏洞。
5.啟用SMBv1協議
即使您為已知的服務器消息塊版本1(SMBv1)漏洞安裝了所有補丁程序,攻擊者也可能會利用其他漏洞。當您安裝了Windows 10 1709或更高版本時,默認情況下不啟用SMBv1協議。如果SMBv1客戶端或服務器在15天內未被使用(不包括計算機關閉的時間),則Windows 10會自動卸載該協議。
SMBv1協議已有30多年的歷史,您應該放棄使用了。有多種方法可以從網絡中禁用和刪除SMBv1協議,例如組策略、PowerShell和注冊表鍵值。
6.電子郵件保護措施不足
您是否已竭盡所能確保電子郵件(攻擊者的關鍵入口)免受威脅?攻擊者經常通過垃圾郵件進入網絡。所有組織機構都應使用電子郵件安全服務來掃描和檢查進入您網絡的信息。在電子郵件服務器前設置一個過濾流程。無論該過濾器是Office 365高級威脅防護(ATP)還是第三方解決方案,在電子郵件之前設置一項服務來評估電子郵件發件人的信譽,掃描鏈接和檢查內容。檢查之前已設置的所有電子郵件的安全狀況。如果您使用的是Office / Microsoft 365,請查看安全分數和ATP設置。
7.用戶未經培訓
最后但并非最不重要的一點是,請確保您的員工擁有足夠的認識。即使進行了所有適當的ATP設置,惡意電子郵件也經常進入我的收件箱。稍有偏執和受過良好教育的終端用戶可以成為您最后一道防火墻,以確保惡意攻擊不會進入您的系統。ATP包含一些測試,以了解您的用戶是否會遭受網絡釣魚攻擊。
特洛伊·亨特(Troy Hunt)最近寫了一篇文章,關于瀏覽器中使用的字體如何常常讓人們難以判斷哪一個是好網站和壞網站。他指出,密碼管理器將自動驗證網站,并只會為那些與您數據庫匹配的網站填寫密碼。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號