知名汽車制造商本田近日收到勒索軟件攻擊，其客戶服務和金融服務均受到不同程度影響。有安全公司對此次勒索軟件攻擊事件進行了調(diào)查，根據(jù)在VirusTotal數(shù)據(jù)庫中發(fā)現(xiàn)的樣本顯示，該公司似乎已經(jīng)成為Snake勒索軟件的攻擊目標。通過這一事件，我們可以進行一些思考，用戶應該如何更好地保護Windows網(wǎng)絡免受勒索軟件攻擊。

[[334109]]

根據(jù)安全專家介紹，該惡意軟件是通過一個名為nmon.bat的文件發(fā)起的。調(diào)用擴展名為.bat的惡意文件意味著警報工具將看到網(wǎng)絡中使用了腳本或批處理文件。在許多環(huán)境中，這將是一個被允許的文件。

攻擊者使用了一個名為KB3020369.exe的文件進行攻擊。這很有趣，因為微軟知識庫號3020369是用于Windows 7服務棧補丁的。但是，實際補丁的文件名不是KB3020369.exe,而是Windows6.1-KB3020369-x64.msu。攻擊者將惡意文件命名為一種模式，在技術專業(yè)人員面前進行隱藏。

Snake勒索軟件從受感染的系統(tǒng)中移除卷影副本，然后殺死與虛擬機、工業(yè)控制系統(tǒng)、遠程管理工具和網(wǎng)絡管理軟件相關的進程。第三方研究人員在一份攻擊分析報告中指出，攻擊序列是為了解決本田域內(nèi)的域。這表明攻擊者的目標是本田網(wǎng)絡。

攻擊者往往會選擇薄弱環(huán)節(jié)下手，那就是人員。他們會隱藏在網(wǎng)絡中，直到他們準備好攻擊，這個過程或許長達數(shù)月之久。這還不包括攻擊者在網(wǎng)絡基礎設施上進行偵察所花費的時間。

以本田遭受的勒索軟件為案例，用戶該如何更好地保護Windows網(wǎng)絡：

注意未授權的工具、腳本和組策略設置

網(wǎng)絡安全專家介紹，有些攻擊是使用了一個預定的任務。用戶可以在事件日志中查看類似的未經(jīng)授權的活動。按照以下步驟檢查本機Windows事件日志：

• 運行eventvwr.msc
• 進入“Windows日志”。
• 右鍵單擊“安全日志”，然后單擊選擇“屬性”。
• 確保選擇了“啟用日志記錄(Enable logging)”。
• 將日志大小增加到至少1 GB。
• 查找事件4698事件ID以查找最新的計劃任務。

您可以設置一個PowerShell任務，以便在創(chuàng)建和運行新的計劃任務時發(fā)送電子郵件通知。您可能需要第三方SMTP服務(如smtp2go.com)來設置警報。此外您可以使用其他方法來設置通知，或者查看您的審計軟件是否提供這樣的內(nèi)置服務。

識別容易受到釣魚攻擊的員工

給關鍵用戶(特別是域管理員)的有趣的自定義電子郵件可以為攻擊者提供進入網(wǎng)絡內(nèi)部的途徑。尤其是在家辦公，意味著使用更多的遠程訪問技術。相比操作系統(tǒng)的漏洞，標識符是2020年容易實現(xiàn)的目標。

檢查您提供給關鍵員工的許可和工具。用戶可以在公司內(nèi)部混合和匹配Microsoft 365許可，以便不是每個人都需要使用相同的許可或相同級別的保護。回顧包含高級威脅防護(ATP)的Microsoft 365 E5許可證的需求，該服務最近在啟用ATP的機器中包含了UEFI惡意軟件檢測器。正如微軟最近指出的，“新的UEFI掃描器在運行時通過與主板芯片組交互讀取固件文件系統(tǒng)。“Microsoft Defender ATP也提供了一個可執(zhí)行的操作列表：

檢查組策略域和腳本文件夾中是否存在惡意文件

攻擊者通常會從管理員用來管理網(wǎng)絡的位置發(fā)起攻擊。花點時間來驗證您保存的文件和腳本位置。檢查添加到用于管理的文件夾中的任何新文件。檢查文件夾的適當權限，以確保只有經(jīng)過授權的用戶才能添加或調(diào)整這些管理腳本。

對特權帳戶使用多因素身份驗證

最為重要的是，要確保域管理員在需要遠程訪問時啟用了多因素身份驗證(MFA)。同時也為Microsoft 365帳戶啟用MFA。檢查你的網(wǎng)絡中在什么位置使用了哪些賬號。

查看備份策略

擁有一個良好的備份，你可以恢復被勒索軟件鎖定的文件且無需支付贖金。定期進行自動備份，并確保備份受到保護。執(zhí)行備份過程的用戶帳戶不應與登錄的用戶相同。最后，在你的旋轉中有一個離線備份過程，這樣媒體就可以離線或離線，防止攻擊者刪除備份文件。再次強調(diào):擁有備份是從勒索軟件攻擊中恢復的關鍵。