如何保護Windows網路免受勒索軟體攻擊
知名汽車製造商本田近日收到勒索軟體攻擊,其客戶服務和金融服務均受到不同程度影響。有安全公司對此次勒索軟體攻擊事件進行了調查,根據在VirusTotal資料庫中發現的樣本顯示,該公司似乎已經成為Snake勒索軟體的攻擊目標。透過這一事件,我們可以進行一些思考,使用者應該如何更好地保護Windows網路免受勒索軟體攻擊。
根據安全專家介紹,該惡意軟體是透過一個名為nmon.bat的檔案發起的。呼叫副檔名為.bat的惡意檔案意味著警報工具將看到網路中使用了指令碼或批處理檔案。在許多環境中,這將是一個被允許的檔案。
攻擊者使用了一個名為KB3020369.exe的檔案進行攻擊。這很有趣,因為微軟知識庫號3020369是用於Windows 7服務棧補丁的。但是,實際補丁的檔名不是KB3020369.exe,而是Windows6.1-KB3020369-x64.msu。攻擊者將惡意檔案命名為一種模式,在技術專業人員面前進行隱藏。
Snake勒索軟體從受感染的系統中移除卷影副本,然後殺死與虛擬機器、工業控制系統、遠端管理工具和網路管理軟體相關的程式。第三方研究人員在一份攻擊分析報告中指出,攻擊序列是為了解決本田域內的域。這表明攻擊者的目標是本田網路。
攻擊者往往會選擇薄弱環節下手,那就是人員。他們會隱藏在網路中,直到他們準備好攻擊,這個過程或許長達數月之久。這還不包括攻擊者在網路基礎設施上進行偵察所花費的時間。
以本田遭受的勒索軟體為案例,使用者該如何更好地保護Windows網路:
注意未授權的工具、指令碼和組策略設定
網路安全專家介紹,有些攻擊是使用了一個預定的任務。使用者可以在事件日誌中檢視類似的未經授權的活動。按照以下步驟檢查本機Windows事件日誌:
1、執行eventvwr.msc
2、進入“Windows日誌”。
3、右鍵單擊“安全日誌”,然後單擊選擇“屬性”。
4、確保選擇了“啟用日誌記錄(Enable logging)”。
5、將日誌大小增加到至少1 GB。
6、查詢事件4698事件ID以查詢最新的計劃任務。
您可以設定一個PowerShell任務,以便在建立和執行新的計劃任務時傳送電子郵件通知。您可能需要第三方SMTP服務(如smtp2go.com)來設定警報。此外您可以使用其他方法來設定通知,或者檢視您的審計軟體是否提供這樣的內建服務。
識別容易受到釣魚攻擊的員工
給關鍵使用者(特別是域管理員)的有趣的自定義電子郵件可以為攻擊者提供進入網路內部的途徑。尤其是在家辦公,意味著使用更多的遠端訪問技術。相比作業系統的漏洞,識別符號是2020年容易實現的目標。
檢查您提供給關鍵員工的許可和工具。使用者可以在公司內部混合和匹配Microsoft 365許可,以便不是每個人都需要使用相同的許可或相同級別的保護。回顧包含高階威脅防護(ATP)的Microsoft 365 E5許可證的需求,該服務最近在啟用ATP的機器中包含了UEFI惡意軟體檢測器。正如微軟最近指出的,“新的UEFI掃描器在執行時透過與主機板晶片組互動讀取韌體檔案系統。“Microsoft Defender ATP也提供了一個可執行的操作列表:
檢查組策略域和指令碼資料夾中是否存在惡意檔案
攻擊者通常會從管理員用來管理網路的位置發起攻擊。花點時間來驗證您儲存的檔案和指令碼位置。檢查新增到用於管理的資料夾中的任何新檔案。檢查資料夾的適當許可權,以確保只有經過授權的使用者才能新增或調整這些管理指令碼。
對特權帳戶使用多因素身份驗證
最為重要的是,要確保域管理員在需要遠端訪問時啟用了多因素身份驗證(MFA)。同時也為Microsoft 365帳戶啟用MFA。檢查你的網路中在什麼位置使用了哪些賬號。
檢視備份策略
擁有一個良好的備份,你可以恢復被勒索軟體鎖定的檔案且無需支付贖金。定期進行自動備份,並確保備份受到保護。執行備份過程的使用者帳戶不應與登入的使用者相同。最後,在你的旋轉中有一個離線備份過程,這樣媒體就可以離線或離線,防止攻擊者刪除備份檔案。再次強調:擁有備份是從勒索軟體攻擊中恢復的關鍵。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31545812/viewspace-2705278/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 如何保護企業免受黑客攻擊?黑客
- 如何保護備份資料免受勒索軟體侵害
- 如何保護您不瞭解的資料資產免受網路攻擊?
- 保護您的資料免受網路攻擊的技巧
- 勒索軟體攻擊:如何透過加密保護您的資料加密
- 微軟釋出 ElectionGuard 開源軟體,保護美國大選系統免受攻擊微軟
- [譯文]4種簡單的方法保護您的公司免受網路攻擊
- 梭子魚資料保護和安全解決方案提供全面的勒索軟體攻擊保護
- 汽車經銷行業如何免受網路攻擊行業
- 面對勒索軟體攻擊,我們如何保護DT時代的企業資料資產?
- 如何保護網路免受DOS和DDOS的侵害呢?
- 微軟打擊PUA,保護使用者免受流氓軟體侵擾微軟
- 勒索軟體屢禁不止 如何降低遭受勒索軟體攻擊的風險?
- 勒索軟體攻擊影響
- ASLR 是如何保護 Linux 系統免受緩衝區溢位攻擊的Linux
- 如何防止勒索軟體攻擊造成嚴重影響
- 勒索軟體攻擊加倍 公司該如何準備?
- 使用SRI保護你的網站免受第三方CDN惡意攻擊網站
- 用 Apache 伺服器模組保護您的網站免受應用層 DOS 攻擊Apache伺服器網站
- 一鍵遮蔽惡意IP!保護你的伺服器免受攻擊伺服器
- Windows 10 十月更新 | 有望提供勒索軟體保護Windows
- 勒索軟體攻擊猖狂,教你如何正確防範~
- 勒索軟體eCh0raix變種擴充套件攻擊物件,注意保護好你的NASAI套件物件
- SAP ERP系統&重慶達策助力企業保護資料,避免軟體勒索攻擊
- 面對勒索軟體 如何保護資料備份安全?
- 近千萬人受勒索軟體攻擊波及,網路威脅規避究竟如何開展?
- 印尼央行確認遭受勒索軟體攻擊
- 無線網路攻擊有哪些?如何防護?
- IAM-企業免受網路攻擊的得力助手
- 勒索軟體攻擊正在演變 網路安全防禦策略也應該如此
- 勒索軟體攻擊的階段:從最初訪問到勒索
- 網路免受駭客的攻擊的十件事
- 企業及個人如何有效防護網路攻擊?
- 挪威海德魯公司遭勒索軟體攻擊
- Mandiant否認遭LockBit勒索軟體攻擊
- 【網路安全技術篇】保護網站免受劫持的方法有哪些?網站
- 無線網路攻擊分為幾類?如何防護?
- Microsoft釋出有關阻止勒索軟體攻擊的指南ROS