最新版本的Hive有效載荷是用Rust編寫的，之前是用Go編寫的。它通常會在攻擊者通過利用釣魚郵件、暴露的RDP、利用未打補丁的軟件（FortiOS漏洞CVE-2020-12812和微軟Exchange的ProxyShell漏洞已經受到青睞；還會有其他漏洞）或泄露的VPN信條（即所有許多常見的機器和網絡被破壞的方式）訪問網絡后進行投放。

像大多數復雜的勒索軟件的有效載荷一樣，Hive勒索軟件運行的進程會殺死一系列的防病毒/EDR工具，刪除備份并阻止恢復。正如美國網絡安全機構CISA 11月17日所說，它禁用了 "系統注冊表中的Windows Defender和其他常見的防病毒程序的所有部分"。 

(微軟在夏天的分析顯示，它終止了以下進程，其中包括常見的備份和安全工具。Windefend, msmpsvc, kavsvc, antivirservice, vmm, vmwp, sql, sap, oracle, mepocs, veeam, backup, vss, msexchange, mysql, sophos, pdfservice, backupexec, gxblr, gxvss, gxclmgrs, gxcimgr, gxmmm, gxvsshwprov, gxfwd, sap, qbcfmonitorservice, acronisagent, veeam, mvarmor, acrsch2svc等進程 )

攻擊者青睞于域內的攻擊 

SentinelOne在早前的分析中指出，目前已經發現Hive使用了開源工具ADRecon來映射、穿越和列舉AD環境。趨勢科技最近對另一種新出現的勒索軟件類型Play的調查也強調，在信息搜集階段，勒索軟件攻擊者會收集更多關于AD域環境的細節。我們觀察到，不同的工具對遠程系統進行了AD查詢，如ADFind、Microsoft Nltest和Bloodhound會列舉系統信息，如主機名、共享和域信息。

這樣的工具也可以免費提供給安全方面的IT專業研究人士，也非常值得那些從未部署過這些工具的人探索。

正如Bloodhound的聯合創建者Andy Robbins去年所說的，該工具旨在幫助映射和利用AD（現在也在Azure AD）中的攻擊路徑。正如他所指出的。藍隊方面的很多人都是在該工具被專業人士或攻擊者用來對付他們自己時才知道的。

但實際情況是，BloodHound能夠為藍隊提供的價值遠遠超過它對紅隊的價值，因為它向藍隊展示了他們的環境中存在哪些攻擊路徑，這樣他們就可以在對手發現和利用這些攻擊路徑之前將其清理掉。

同時，CISA最近的Hive勒索軟件指南可能已經被那些注重安全的人看到過很多次了，但它也只是針對一些核心網絡的一個檢查清單。

美國網絡安全機構說，組織應該在操作系統、軟件和固件發布后，立即安裝更新。?優先修補VPN服務器、遠程訪問軟件、虛擬機軟件和已知被利用的漏洞。并且還應該考慮利用一個集中的補丁管理系統來自動化管理和加速這一過程。 

他們還應該使用盡可能多的服務比如采用抗網絡釣魚的MFA，特別是網絡郵件、VPN、訪問關鍵系統的賬戶以及管理備份的特權賬戶。

如果使用RDP，應確保其安全性并對其進行監控，限制訪問的源地址，并要求使用MFA減少憑證盜竊和重復使用。如果RDP必須在外部使用，在允許RDP連接到內部設備之前，使用VPN、虛擬桌面基礎設施或其他方式來驗證和保護連接。

維護數據的離線備份，并定期維護備份和恢復。通過使用這種做法，組織確保他們不會被嚴重干擾。

確保所有的備份數據是加密的，不可改變的（即不能被改變或刪除），并覆蓋整個組織的數據基礎設施。確保你的備份數據還沒有被感染。

禁用命令行和腳本的活動權限。特權升級和橫向移動往往依賴于從命令行運行的軟件工具。如果威脅者不能運行這些工具，他們將很難升級權限和/或橫向移動。

確保設備的正確配置，并確保安全功能已經被啟用。

在網絡內限制服務器信息塊（SMB）協議，只訪問必要的服務器，并刪除或禁用過期的SMB版本（即SMB版本1）。

組織還應該識別并優先恢復關鍵系統，確認受影響系統中存放的數據的性質，并根據預先確定的關鍵資產清單確定恢復的優先次序，包括對健康和安全、創收或其他關鍵服務至關重要的信息系統，以及它們所依賴的系統。

本文翻譯自：https://thestack.technology/defending-against-hive-ransomware-using-the-attackers-tools/