知名汽車制造商本田近日收到勒索軟件攻擊，其客戶服務(wù)和金融服務(wù)均受到不同程度影響。有安全公司對(duì)此次勒索軟件攻擊事件進(jìn)行了調(diào)查，根據(jù)在VirusTotal數(shù)據(jù)庫中發(fā)現(xiàn)的樣本顯示，該公司似乎已經(jīng)成為Snake勒索軟件的攻擊目標(biāo)。通過這一事件，我們可以進(jìn)行一些思考，用戶應(yīng)該如何更好地保護(hù)Windows網(wǎng)絡(luò)免受勒索軟件攻擊。

[[334109]]

根據(jù)安全專家介紹，該惡意軟件是通過一個(gè)名為nmon.bat的文件發(fā)起的。調(diào)用擴(kuò)展名為.bat的惡意文件意味著警報(bào)工具將看到網(wǎng)絡(luò)中使用了腳本或批處理文件。在許多環(huán)境中，這將是一個(gè)被允許的文件。

攻擊者使用了一個(gè)名為KB3020369.exe的文件進(jìn)行攻擊。這很有趣，因?yàn)槲④浿R(shí)庫號(hào)3020369是用于Windows 7服務(wù)棧補(bǔ)丁的。但是，實(shí)際補(bǔ)丁的文件名不是KB3020369.exe,而是Windows6.1-KB3020369-x64.msu。攻擊者將惡意文件命名為一種模式，在技術(shù)專業(yè)人員面前進(jìn)行隱藏。

Snake勒索軟件從受感染的系統(tǒng)中移除卷影副本，然后殺死與虛擬機(jī)、工業(yè)控制系統(tǒng)、遠(yuǎn)程管理工具和網(wǎng)絡(luò)管理軟件相關(guān)的進(jìn)程。第三方研究人員在一份攻擊分析報(bào)告中指出，攻擊序列是為了解決本田域內(nèi)的域。這表明攻擊者的目標(biāo)是本田網(wǎng)絡(luò)。

攻擊者往往會(huì)選擇薄弱環(huán)節(jié)下手，那就是人員。他們會(huì)隱藏在網(wǎng)絡(luò)中，直到他們準(zhǔn)備好攻擊，這個(gè)過程或許長達(dá)數(shù)月之久。這還不包括攻擊者在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上進(jìn)行偵察所花費(fèi)的時(shí)間。

以本田遭受的勒索軟件為案例，用戶該如何更好地保護(hù)Windows網(wǎng)絡(luò)：

注意未授權(quán)的工具、腳本和組策略設(shè)置

網(wǎng)絡(luò)安全專家介紹，有些攻擊是使用了一個(gè)預(yù)定的任務(wù)。用戶可以在事件日志中查看類似的未經(jīng)授權(quán)的活動(dòng)。按照以下步驟檢查本機(jī)Windows事件日志：

• 運(yùn)行eventvwr.msc
• 進(jìn)入“Windows日志”。
• 右鍵單擊“安全日志”，然后單擊選擇“屬性”。
• 確保選擇了“啟用日志記錄(Enable logging)”。
• 將日志大小增加到至少1 GB。
• 查找事件4698事件ID以查找最新的計(jì)劃任務(wù)。

您可以設(shè)置一個(gè)PowerShell任務(wù)，以便在創(chuàng)建和運(yùn)行新的計(jì)劃任務(wù)時(shí)發(fā)送電子郵件通知。您可能需要第三方SMTP服務(wù)(如smtp2go.com)來設(shè)置警報(bào)。此外您可以使用其他方法來設(shè)置通知，或者查看您的審計(jì)軟件是否提供這樣的內(nèi)置服務(wù)。

識(shí)別容易受到釣魚攻擊的員工

給關(guān)鍵用戶(特別是域管理員)的有趣的自定義電子郵件可以為攻擊者提供進(jìn)入網(wǎng)絡(luò)內(nèi)部的途徑。尤其是在家辦公，意味著使用更多的遠(yuǎn)程訪問技術(shù)。相比操作系統(tǒng)的漏洞，標(biāo)識(shí)符是2020年容易實(shí)現(xiàn)的目標(biāo)。

檢查您提供給關(guān)鍵員工的許可和工具。用戶可以在公司內(nèi)部混合和匹配Microsoft 365許可，以便不是每個(gè)人都需要使用相同的許可或相同級(jí)別的保護(hù)。回顧包含高級(jí)威脅防護(hù)(ATP)的Microsoft 365 E5許可證的需求，該服務(wù)最近在啟用ATP的機(jī)器中包含了UEFI惡意軟件檢測(cè)器。正如微軟最近指出的，“新的UEFI掃描器在運(yùn)行時(shí)通過與主板芯片組交互讀取固件文件系統(tǒng)。“Microsoft Defender ATP也提供了一個(gè)可執(zhí)行的操作列表：

檢查組策略域和腳本文件夾中是否存在惡意文件

攻擊者通常會(huì)從管理員用來管理網(wǎng)絡(luò)的位置發(fā)起攻擊?；c(diǎn)時(shí)間來驗(yàn)證您保存的文件和腳本位置。檢查添加到用于管理的文件夾中的任何新文件。檢查文件夾的適當(dāng)權(quán)限，以確保只有經(jīng)過授權(quán)的用戶才能添加或調(diào)整這些管理腳本。

對(duì)特權(quán)帳戶使用多因素身份驗(yàn)證

最為重要的是，要確保域管理員在需要遠(yuǎn)程訪問時(shí)啟用了多因素身份驗(yàn)證(MFA)。同時(shí)也為Microsoft 365帳戶啟用MFA。檢查你的網(wǎng)絡(luò)中在什么位置使用了哪些賬號(hào)。

查看備份策略

擁有一個(gè)良好的備份，你可以恢復(fù)被勒索軟件鎖定的文件且無需支付贖金。定期進(jìn)行自動(dòng)備份，并確保備份受到保護(hù)。執(zhí)行備份過程的用戶帳戶不應(yīng)與登錄的用戶相同。最后，在你的旋轉(zhuǎn)中有一個(gè)離線備份過程，這樣媒體就可以離線或離線，防止攻擊者刪除備份文件。再次強(qiáng)調(diào):擁有備份是從勒索軟件攻擊中恢復(fù)的關(guān)鍵。