如何保護Windows網路免受勒索軟體攻擊

知名汽車製造商本田近日收到勒索軟體攻擊，其客戶服務和金融服務均受到不同程度影響。有安全公司對此次勒索軟體攻擊事件進行了調查，根據在VirusTotal資料庫中發現的樣本顯示，該公司似乎已經成為Snake勒索軟體的攻擊目標。透過這一事件，我們可以進行一些思考，使用者應該如何更好地保護Windows網路免受勒索軟體攻擊。

根據安全專家介紹，該惡意軟體是透過一個名為nmon.bat的檔案發起的。呼叫副檔名為.bat的惡意檔案意味著警報工具將看到網路中使用了指令碼或批處理檔案。在許多環境中，這將是一個被允許的檔案。

攻擊者使用了一個名為KB3020369.exe的檔案進行攻擊。這很有趣，因為微軟知識庫號3020369是用於Windows 7服務棧補丁的。但是，實際補丁的檔名不是KB3020369.exe,而是Windows6.1-KB3020369-x64.msu。攻擊者將惡意檔案命名為一種模式，在技術專業人員面前進行隱藏。

Snake勒索軟體從受感染的系統中移除卷影副本，然後殺死與虛擬機器、工業控制系統、遠端管理工具和網路管理軟體相關的程式。第三方研究人員在一份攻擊分析報告中指出，攻擊序列是為了解決本田域內的域。這表明攻擊者的目標是本田網路。

攻擊者往往會選擇薄弱環節下手，那就是人員。他們會隱藏在網路中，直到他們準備好攻擊，這個過程或許長達數月之久。這還不包括攻擊者在網路基礎設施上進行偵察所花費的時間。

以本田遭受的勒索軟體為案例，使用者該如何更好地保護Windows網路:

注意未授權的工具、指令碼和組策略設定

網路安全專家介紹，有些攻擊是使用了一個預定的任務。使用者可以在事件日誌中檢視類似的未經授權的活動。按照以下步驟檢查本機Windows事件日誌:

1、執行eventvwr.msc

2、進入“Windows日誌”。

3、右鍵單擊“安全日誌”，然後單擊選擇“屬性”。

4、確保選擇了“啟用日誌記錄(Enable logging)”。

5、將日誌大小增加到至少1 GB。

6、查詢事件4698事件ID以查詢最新的計劃任務。

您可以設定一個PowerShell任務，以便在建立和執行新的計劃任務時傳送電子郵件通知。您可能需要第三方SMTP服務(如smtp2go.com)來設定警報。此外您可以使用其他方法來設定通知，或者檢視您的審計軟體是否提供這樣的內建服務。

識別容易受到釣魚攻擊的員工

給關鍵使用者(特別是域管理員)的有趣的自定義電子郵件可以為攻擊者提供進入網路內部的途徑。尤其是在家辦公，意味著使用更多的遠端訪問技術。相比作業系統的漏洞，識別符號是2020年容易實現的目標。

檢查您提供給關鍵員工的許可和工具。使用者可以在公司內部混合和匹配Microsoft 365許可，以便不是每個人都需要使用相同的許可或相同級別的保護。回顧包含高階威脅防護(ATP)的Microsoft 365 E5許可證的需求，該服務最近在啟用ATP的機器中包含了UEFI惡意軟體檢測器。正如微軟最近指出的，“新的UEFI掃描器在執行時透過與主機板晶片組互動讀取韌體檔案系統。“Microsoft Defender ATP也提供了一個可執行的操作列表:

檢查組策略域和指令碼資料夾中是否存在惡意檔案

攻擊者通常會從管理員用來管理網路的位置發起攻擊。花點時間來驗證您儲存的檔案和指令碼位置。檢查新增到用於管理的資料夾中的任何新檔案。檢查資料夾的適當許可權，以確保只有經過授權的使用者才能新增或調整這些管理指令碼。

對特權帳戶使用多因素身份驗證

最為重要的是，要確保域管理員在需要遠端訪問時啟用了多因素身份驗證(MFA)。同時也為Microsoft 365帳戶啟用MFA。檢查你的網路中在什麼位置使用了哪些賬號。

檢視備份策略

擁有一個良好的備份，你可以恢復被勒索軟體鎖定的檔案且無需支付贖金。定期進行自動備份，並確保備份受到保護。執行備份過程的使用者帳戶不應與登入的使用者相同。最後，在你的旋轉中有一個離線備份過程，這樣媒體就可以離線或離線，防止攻擊者刪除備份檔案。再次強調:擁有備份是從勒索軟體攻擊中恢復的關鍵。