如何减轻人为勒索软件攻击:信息图
在早期,如果有人不得不劫持您的计算机,通常可以通过亲自到场或使用远程访问来控制您的计算机。虽然世界在自动化方面取得了进展,但计算机安全性已经加强,但没有改变的一件事是人为错误。这就是人为操作的勒索软件攻击(Human-operated Ransomware Attacks)出现的地方。这些是人为的攻击,可以在计算机上发现漏洞或错误配置的安全性并获得访问权限。微软(Microsoft)提出了一个详尽的案例研究,得出的结论是,IT 管理员可以大大减轻这些人为勒索软件的攻击。(Ransomware attacks)
减轻人为勒索软件攻击(Human-operated Ransomware Attacks)
根据Microsoft的说法,缓解此类勒索软件和手工活动的最佳方法是阻止端点之间所有不必要的通信。遵循凭证卫生的最佳实践也同样重要,例如多因素身份验证(Multi-Factor Authentication)、监控暴力尝试、安装最新的安全更新等。以下是要采取的防御措施的完整列表:
- 确保应用 Microsoft推荐的配置设置(recommended configuration settings)来保护连接到 Internet 的计算机。
- Defender ATP提供威胁和漏洞管理(threat and vulnerability management)。您可以使用它定期审核机器的漏洞、错误配置和可疑活动。
- 使用MFA 网关(MFA gateway),例如Azure 多重身份验证(Azure Multi-Factor Authentication)( MFA ) 或启用网络级身份验证 ( NLA )。
- 为帐户提供最低权限(least-privilege to accounts),并且仅在需要时启用访问权限。任何具有域范围管理员级别访问权限的帐户都应为最小值或为零。
- 本地管理员密码解决方案( LAPS ) 工具等工具可以为管理员帐户配置唯一的随机密码。您可以将它们存储在Active Directory (AD) 中并使用ACL进行保护。
- 监控蛮力尝试。您应该感到震惊,特别是如果有很多失败的身份验证尝试。(failed authentication attempts. )使用事件ID 4625进行(ID 4625)过滤(Filter)以查找此类条目。
- 攻击者通常会清除安全事件日志和 PowerShell 操作日志(Security Event logs and PowerShell Operational log)以删除他们的所有足迹。发生这种情况时, Microsoft Defender ATP(Microsoft Defender ATP)会生成事件 ID 1102(Event ID 1102)。
- 打开篡改保护(Tamper protection)(Tamper protection)功能,以防止攻击者关闭安全功能。
- 调查(Investigate)事件ID 4624以查找具有高权限的帐户正在登录的位置。如果他们进入受感染的网络或计算机,则可能是更严重的威胁。
- (Turn on cloud-delivered protection)在Windows Defender Antivirus上(Windows Defender Antivirus)打开云提供的保护和自动样本提交。它可以保护您免受未知威胁。
- 打开攻击面减少规则。除此之外,启用阻止凭据盗窃、勒索软件活动和可疑使用PsExec和WMI的规则。
- 如果您有 Office 365,请为Office VBA打开 AMSI 。
- (Prevent RPC)尽可能防止端点之间的 RPC和SMB通信。(SMB)
阅读(Read):Windows 10 中的勒索软件保护(Ransomware protection in Windows 10)。
微软(Microsoft)对Wadhrama、Doppelpaymer、Ryuk、Samas、REvil进行了案例研究(REvil)
- Wadhrama使用蛮力交付到具有远程桌面(Remote Desktop)的服务器中。他们通常会发现未打补丁的系统并使用公开的漏洞来获得初始访问权限或提升权限。
- Doppelpaymer使用被盗的特权帐户凭据通过受感染的网络手动传播。这就是为什么必须遵循所有计算机的推荐配置设置的原因。
- Ryuk通过欺骗最终用户其他事情来通过电子邮件 ( Trickboat ) 分发有效负载。(Trickboat)最近,黑客利用冠状病毒恐慌来欺骗最终用户。其中之一还能够提供Emotet 有效载荷。
它们每个的共同点(common thing about each of them)是它们是根据情况构建的。他们似乎在执行大猩猩战术,从一台机器移动到另一台机器以传递有效载荷。至关重要的是,IT 管理员不仅要密切关注正在进行的攻击(即使是小规模攻击),还要让员工了解如何帮助保护网络。
我希望所有 IT 管理员都可以遵循该建议,并确保减轻人为勒索软件(Ransomware)的攻击。
相关阅读(Related read):在您的 Windows 计算机上遭到勒索软件攻击后该怎么办?(What to do after a Ransomware attack on your Windows computer?)
About the author
我是一名硬件工程师,专门从事iPhone、iPad等苹果产品的设计和开发。我在 iOS 和边缘设备以及 Git 和 Swift 等软件开发工具方面都有经验。我在这两个领域的技能使我对 Apple 设备操作系统 (OS) 如何与应用程序和数据源进行交互有了深刻的理解。此外,我在 Git 方面的经验使我能够处理代码版本控制系统,这有助于在开发软件时提高效率和生产力。
Related posts
Ransomware Attacks,Definition,Examples,Protection,Removal
免费Anti-Ransomware software用于Windows电脑
Create email规则来防止Ransomware在Microsoft 365业务
在Windows Defender启用和配置Ransomware Protection
Windows 10中的Ransomware protection
Ransomware Response Playbook展示了如何应对恶意软件
如何防范和避免Ransomware攻击和感染
Cyber Attacks - 定义,Types,预防
您Windows computer一个Ransomware attack后做什么?
DLL Hijacking Vulnerability Attacks,Prevention & Detection
Service Attacks DDoS Distributed Denial:保护,Prevention
免费Ransomware Decryption Tools列表解锁文件
什么是Service(RDoS)的Ransom Denial? Prevention and precautions
Brute Force Attacks - Definition and Prevention
CyberGhost Immunizer将有助于防止勒索软件攻击
我应该报告Ransomware吗?我在哪里报告Ransomware?
McAfee Ransomware Recover(Mr2)可以帮助解密文件
Fileless Malware Attacks,Protection and Detection
如何避免Phishing Scams and Attacks?