勒索软件最近再次出现在新闻中。据报道,黑客们的目标是医疗服务提供者,他们通过伪装成会议邀请或发票的钓鱼活动,将谷歌文件链接到pdf文件中,这些文件链接到签名的可执行文件,这些可执行文件的名称带有“ preview”和“ test”等特殊单词。
一旦勒索软件进入系统,攻击者就会追捕我们网络上留下的低垂的果实,以横向移动并造成更大的破坏。这种简单的访问是可以避免的,并且可能是由于过时的设置、被遗忘的设置或过时的策略而导致的。你可以通过以下方法检查Windows的七个常见漏洞,防止勒索软件攻击者使你和你的团队难堪。
1. 密码存储在组策略选项中
你是否曾经在组策略首选项中存储密码?2014年,MS14-025修补了组策略首选项,并删除了不安全地存储密码的功能,但没有删除密码。勒索软件攻击者使用PowerShell脚本Get-GPPPassword获取遗留的密码。
查看你的组策略首选项,以查看你的组织是否曾经以这种方式存储密码。想想你在脚本或批处理文件中留下凭据的任何其他时间。查看管理过程、记事本文件、暂存器位置和其他不受保护的文件中遗留的密码。
2. 使用远程桌面协议
你仍然使用不安全且不受保护的远程桌面协议(RDP)吗?有报告显示,攻击者使用蛮力和收集的凭据闯入了开放网络的RDP。使用远程桌面设置服务器,虚拟机甚至Azure服务器非常容易。启用远程桌面时至少没有最低限度的保护,例如限制对特定静态IP地址的访问,不使用RDgateway保护来保护连接或未设置双因素身份验证,这意味着你面临着遭受攻击者控制网络的风险。
3. 密码重复使用
你或你的用户经常重复使用密码吗?攻击者可以访问在线数据转储位置中已获取的密码。知道我们经常重复使用密码,攻击者会以各种攻击序列的形式对网站和帐户以及域和Microsoft 365访问使用这些凭据。
确保已在组织中启用多因素身份验证是阻止此类攻击的关键。使用密码管理器程序可以鼓励使用更好和更独特的密码。另外,许多密码管理器会在用户名和密码重复组合时进行标记。
4. 未修补的特权升级漏洞
你能让攻击者轻松地横向移动吗?最近,攻击者一直在使用几种方式进行横向移动,比如名为ZeroLogon的CVE-2020-1472 NetLogon漏洞,以提升域控制器上的特权,这些域控制器缺乏最新的安全补丁。微软最近表示,攻击者正在试图利用这个漏洞。
5. 启用SMBv1
即使您已经为已知的服务器消息块版本1 (SMBv1)漏洞应用了所有补丁,攻击者也可能有其他漏洞可以利用。当安装Windows 10 1709或更高版本时,默认情况下SMBv1是不启用的。如果SMBv1客户端或服务器15天不使用(不包括计算机关闭的时间),Windows 10会自动卸载该协议。
SMBv1协议已经有30多年的历史了,你应该放弃使用它。有多种方法可以从网络禁用和删除SMBv1,从组策略到PowerShell和注册表键。
6. 电子邮件保护不足
你是否已经竭尽所能确保你的电子邮件(攻击者的关键入口)免受威胁?攻击者经常通过垃圾邮件进入网络。所有的组织都应该使用电子邮件安全服务来扫描和审查进入你网络的信息。在你的电子邮件服务器前有一个过滤过程。无论这个过滤器是office365高级威胁保护(ATP)还是第三方解决方案,都应该在你的电子邮件前提供一项服务,以评估邮件发送者的声誉、扫描链接和评论内容。检查你以前设置的电子邮件安全情况。如果你使用Office/Microsoft 365,请查看安全分数和ATP设置。
7. 未经培训的用户
最后也是非常重要的一点,确保对你的用户进行培训。恶意邮件经常进入我的收件箱,即使有所有适当的ATP设置。稍微有点偏执和受过教育的终端用户都可以成为你的最终防火墙,以确保恶意攻击不会进入你的系统。ATP包括通过测试来看你的用户是否会受到钓鱼攻击。
Troy Hunt最近写了一篇文章,关于浏览器中如何通过使用的字体判断是好网站还是恶意网站。他指出,密码管理器将自动验证网站,并提议只为那些与你的数据库匹配的网站填写密码。