勒索软件再次成为新闻。据报道,攻击者以医疗保健工作者为目标,并利用伪装成会议邀请或发票的文件进行具有针对性的网络钓鱼行为,这些文件包含指向谷歌文档的链接,然后跳转至含有签名的可执行文件链接的PDF文件,这些可执行文件的名称带有“预览(preview)”和“测试(test)”等特殊词。
一旦勒索软件进入某一系统,攻击者就会找到我们网络中那些唾手可得的信息,以进行横向移动,造成更大的破坏。这样的简单入侵行为是可以避免的,而且可能是由于旧的和被遗忘的设置或过期的策略所导致。以下将介绍您应如何来检查Windows网络的七个常见漏洞,以及如何防止勒索软件攻击者让您和您的团队陷入尴尬。
1. 密码存储在组策略首选项中
您是否曾经在组策略首选项中存储过密码?2014年,MS14-025公告修补了组策略首选项的漏洞,并删除了这种不安全地存储密码的功能,但并没有删除密码。勒索软件攻击者使用PowerShell脚本的Get-GPPPassword函数来获取遗留的密码。
查看您的组策略首选项,以确认您的组织机构是否曾经以这种方式存储密码。想想您是否在某个时间将一些凭证留在脚本或批处理文件中。检查您的管理流程,以了解在未受保护的记事本文件、便签本位置等是否保存有密码。
2. 使用远程桌面协议
您还在使用不安全且不受保护的远程桌面协议(RDP)吗?我仍然看到一些报告,其中攻击者利用暴力破解和所收集的凭证闯入在网络中开放的远程桌面协议。通过远程桌面设置服务器、虚拟机甚至Azure服务器是非常容易的。启用远程桌面而不采取最低限度的保护措施(例如制约或限制对特定静态IP地址的访问,不使用RDgateway防护措施来保护连接,或未设置双因素身份验证),这意味着您面临着攻击者控制您网络的极高风险。请记住,您可以将Duo.com等软件安装到本地计算机上,以更好地保护远程桌面。
3. 密码重复使用
您或您的用户多久重复使用一次密码?攻击者可以访问在线数据转储位置来获取密码。了解到我们经常重复使用密码,攻击者会使用这些凭证以各种攻击序列来攻击网站和帐户,以及域和Microsoft 365 Access。
前几天有人说:“攻击者在这些日子不会发动攻击,而是会进行登录。”确保在组织机构中已启用多因素身份验证,这是阻止这种攻击方式的关键。使用密码管理器程序可以鼓励用户使用更好和更独特的密码。此外,许多密码管理器会在用户重复使用用户名和密码组合时进行提示。
4. 权限升级漏洞未进行修补
您是否使攻击者横向移动变得容易?近期,攻击者一直在使用多种方式进行横向移动,例如名为ZeroLogon的CVE-2020-1472 NetLogon漏洞,以提升那些没有安装8月份(或更新版本)安全补丁程序的域控制器的权限。微软公司最近表示,攻击者目前正试图利用此漏洞。
5. 启用SMBv1协议
即使您为已知的服务器消息块版本1(SMBv1)漏洞安装了所有补丁程序,攻击者也可能会利用其他漏洞。当您安装了Windows 10 1709或更高版本时,默认情况下不启用SMBv1协议。如果SMBv1客户端或服务器在15天内未被使用(不包括计算机关闭的时间),则Windows 10会自动卸载该协议。
SMBv1协议已有30多年的历史,您应该放弃使用了。有多种方法可以从网络中禁用和删除SMBv1协议,例如组策略、PowerShell和注册表键值。
6. 电子邮件保护措施不足
您是否已竭尽所能确保电子邮件(攻击者的关键入口)免受威胁?攻击者经常通过垃圾邮件进入网络。所有组织机构都应使用电子邮件安全服务来扫描和检查进入您网络的信息。在电子邮件服务器前设置一个过滤流程。无论该过滤器是Office 365高级威胁防护(ATP)还是第三方解决方案,在电子邮件之前设置一项服务来评估电子邮件发件人的信誉,扫描链接和检查内容。检查之前已设置的所有电子邮件的安全状况。如果您使用的是Office / Microsoft 365,请查看安全分数和ATP设置。
7. 用户未经培训
最后但并非最不重要的一点是,请确保您的员工拥有足够的认识。即使进行了所有适当的ATP设置,恶意电子邮件也经常进入我的收件箱。稍有偏执和受过良好教育的终端用户可以成为您最后一道防火墙,以确保恶意攻击不会进入您的系统。ATP包含一些测试,以了解您的用户是否会遭受网络钓鱼攻击。
特洛伊·亨特(Troy Hunt)最近写了一篇文章,关于浏览器中使用的字体如何常常让人们难以判断哪一个是好网站和坏网站。他指出,密码管理器将自动验证网站,并只会为那些与您数据库匹配的网站填写密码。