如何保护Windows网络免受勒索软件攻击

栏目: IT技术 · 发布时间: 4年前

内容简介:知名汽车制造商本田近日收到勒索软件攻击,其客户服务和金融服务均受到不同程度影响。有安全公司对此次勒索软件攻击事件进行了调查,根据在VirusTotal数据库中发现的样本显示,该公司似乎已经成为Snake勒索软件的攻击目标。通过这一事件,我们可以进行一些思考,用户应该如何更好地保护Windows网络免受勒索软件攻击。根据安全专家介绍,该恶意软件是通过一个名为nmon.bat的文件发起的。调用扩展名为.bat的恶意文件意味着警报工具将看到网络中使用了脚本或批处理文件。在许多环境中,这将是一个被允许的文件。

知名汽车制造商本田近日收到勒索软件攻击,其客户服务和金融服务均受到不同程度影响。有安全公司对此次勒索软件攻击事件进行了调查,根据在VirusTotal数据库中发现的样本显示,该公司似乎已经成为Snake勒索软件的攻击目标。通过这一事件,我们可以进行一些思考,用户应该如何更好地保护Windows网络免受勒索软件攻击。

如何保护Windows网络免受勒索软件攻击

根据安全专家介绍,该恶意软件是通过一个名为nmon.bat的文件发起的。调用扩展名为.bat的恶意文件意味着警报 工具 将看到网络中使用了脚本或批处理文件。在许多环境中,这将是一个被允许的文件。

攻击者使用了一个名为KB3020369.exe的文件进行攻击。这很有趣,因为微软知识库号3020369是用于Windows 7服务栈补丁的。但是,实际补丁的文件名不是KB3020369.exe,而是Windows6.1-KB3020369-x64.msu。攻击者将恶意文件命名为一种模式,在技术专业人员面前进行隐藏。

Snake勒索软件从受感染的系统中移除卷影副本,然后杀死与虚拟机、工业控制系统、远程管理工具和网络管理软件相关的进程。第三方研究人员在一份攻击分析报告中指出,攻击序列是为了解决本田域内的域。这表明攻击者的目标是本田网络。

攻击者往往会选择薄弱环节下手,那就是人员。他们会隐藏在网络中,直到他们准备好攻击,这个过程或许长达数月之久。这还不包括攻击者在网络基础设施上进行侦察所花费的时间。

以本田遭受的勒索软件为案例,用户该如何更好地保护Windows网络:

注意未授权的工具、脚本和组策略设置

网络安全专家介绍,有些攻击是使用了一个预定的任务。用户可以在事件日志中查看类似的未经授权的活动。按照以下步骤检查本机Windows事件日志:

  • 运行eventvwr.msc
  • 进入“Windows日志”。
  • 右键单击“安全日志”,然后单击选择“属性”。
  • 确保选择了“启用日志记录(Enable logging)”。
  • 将日志大小增加到至少1 GB。
  • 查找事件4698事件ID以查找最新的计划任务。

您可以设置一个PowerShell任务,以便在创建和运行新的计划任务时发送电子邮件通知。您可能需要第三方SMTP服务(如smtp2go.com)来设置警报。此外您可以使用其他方法来设置通知,或者查看您的审计软件是否提供这样的内置服务。

识别容易受到钓鱼攻击的员工

给关键用户(特别是域管理员)的有趣的自定义电子邮件可以为攻击者提供进入网络内部的途径。尤其是在家办公,意味着使用更多的远程访问技术。相比操作系统的漏洞,标识符是2020年容易实现的目标。

检查您提供给关键员工的许可和工具。用户可以在公司内部混合和匹配Microsoft 365许可,以便不是每个人都需要使用相同的许可或相同级别的保护。回顾包含高级威胁防护(ATP)的Microsoft 365 E5许可证的需求,该服务最近在启用ATP的机器中包含了UEFI恶意软件检测器。正如微软最近指出的,“新的UEFI扫描器在运行时通过与主板芯片组交互读取固件文件系统。“Microsoft Defender ATP也提供了一个可执行的操作列表:

如何保护Windows网络免受勒索软件攻击

检查组策略域和脚本文件夹中是否存在恶意文件

攻击者通常会从管理员用来管理网络的位置发起攻击。花点时间来验证您保存的文件和脚本位置。检查添加到用于管理的文件夹中的任何新文件。检查文件夹的适当权限,以确保只有经过授权的用户才能添加或调整这些管理脚本。

对特权帐户使用多因素身份验证

最为重要的是,要确保域管理员在需要远程访问时启用了多因素身份验证(MFA)。同时也为Microsoft 365帐户启用MFA。检查你的网络中在什么位置使用了哪些账号。

查看备份策略

拥有一个良好的备份,你可以恢复被勒索软件锁定的文件且无需支付赎金。定期进行自动备份,并确保备份受到保护。执行备份过程的用户帐户不应与登录的用户相同。最后,在你的旋转中有一个离线备份过程,这样媒体就可以离线或离线,防止攻击者删除备份文件。再次强调:拥有备份是从勒索软件攻击中恢复的关键。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

微信小程序运营与推广完全自学手册

微信小程序运营与推广完全自学手册

王洪波 / 电子工业出版社 / 2018-6 / 59

本书是运营管理方面的书籍,将小程序的运营推广问题置千小程序的整个运营管理体系中来谈,主要讲述小程序的定位规划、营销吸粉策略、评估优化这三大方面的内容,这三方面的内容之间是三位一体、密切相关的。 书中通过列举丰富且具有代表性的小程序实际案例来向读者提供些可行的运营推广办法。案例涉及美食类、电商类、旅游类、媒体类等小程序,可供多个行业的小程序运营者参考借鉴。 书中所提供的各种小程序营销策略......一起来看看 《微信小程序运营与推广完全自学手册》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具