勒索軟件最近再次出現(xiàn)在新聞中。據(jù)報道，黑客們的目標是醫(yī)療服務提供者，他們通過偽裝成會議邀請或發(fā)票的釣魚活動，將谷歌文件鏈接到pdf文件中，這些文件鏈接到簽名的可執(zhí)行文件，這些可執(zhí)行文件的名稱帶有“ preview”和“ test”等特殊單詞。

一旦勒索軟件進入系統(tǒng)，攻擊者就會追捕我們網(wǎng)絡上留下的低垂的果實，以橫向移動并造成更大的破壞。這種簡單的訪問是可以避免的，并且可能是由于過時的設置、被遺忘的設置或過時的策略而導致的。你可以通過以下方法檢查Windows的七個常見漏洞，防止勒索軟件攻擊者使你和你的團隊難堪。

1. 密碼存儲在組策略選項中

你是否曾經(jīng)在組策略首選項中存儲密碼?2014年，MS14-025修補了組策略首選項，并刪除了不安全地存儲密碼的功能，但沒有刪除密碼。勒索軟件攻擊者使用PowerShell腳本Get-GPPPassword獲取遺留的密碼。

查看你的組策略首選項，以查看你的組織是否曾經(jīng)以這種方式存儲密碼。想想你在腳本或批處理文件中留下憑據(jù)的任何其他時間。查看管理過程、記事本文件、暫存器位置和其他不受保護的文件中遺留的密碼。

2. 使用遠程桌面協(xié)議

你仍然使用不安全且不受保護的遠程桌面協(xié)議(RDP)嗎?有報告顯示，攻擊者使用蠻力和收集的憑據(jù)闖入了開放網(wǎng)絡的RDP。使用遠程桌面設置服務器，虛擬機甚至Azure服務器非常容易。啟用遠程桌面時至少沒有最低限度的保護，例如限制對特定靜態(tài)IP地址的訪問，不使用RDgateway保護來保護連接或未設置雙因素身份驗證，這意味著你面臨著遭受攻擊者控制網(wǎng)絡的風險。

3. 密碼重復使用

你或你的用戶經(jīng)常重復使用密碼嗎?攻擊者可以訪問在線數(shù)據(jù)轉儲位置中已獲取的密碼。知道我們經(jīng)常重復使用密碼，攻擊者會以各種攻擊序列的形式對網(wǎng)站和帳戶以及域和Microsoft 365訪問使用這些憑據(jù)。

確保已在組織中啟用多因素身份驗證是阻止此類攻擊的關鍵。使用密碼管理器程序可以鼓勵使用更好和更獨特的密碼。另外，許多密碼管理器會在用戶名和密碼重復組合時進行標記。

4. 未修補的特權升級漏洞

你能讓攻擊者輕松地橫向移動嗎?最近，攻擊者一直在使用幾種方式進行橫向移動，比如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升域控制器上的特權，這些域控制器缺乏最新的安全補丁。微軟最近表示，攻擊者正在試圖利用這個漏洞。

5. 啟用SMBv1

即使您已經(jīng)為已知的服務器消息塊版本1 (SMBv1)漏洞應用了所有補丁，攻擊者也可能有其他漏洞可以利用。當安裝Windows 10 1709或更高版本時，默認情況下SMBv1是不啟用的。如果SMBv1客戶端或服務器15天不使用(不包括計算機關閉的時間)，Windows 10會自動卸載該協(xié)議。

SMBv1協(xié)議已經(jīng)有30多年的歷史了，你應該放棄使用它。有多種方法可以從網(wǎng)絡禁用和刪除SMBv1，從組策略到PowerShell和注冊表鍵。

6. 電子郵件保護不足

你是否已經(jīng)竭盡所能確保你的電子郵件(攻擊者的關鍵入口)免受威脅?攻擊者經(jīng)常通過垃圾郵件進入網(wǎng)絡。所有的組織都應該使用電子郵件安全服務來掃描和審查進入你網(wǎng)絡的信息。在你的電子郵件服務器前有一個過濾過程。無論這個過濾器是office365高級威脅保護(ATP)還是第三方解決方案，都應該在你的電子郵件前提供一項服務，以評估郵件發(fā)送者的聲譽、掃描鏈接和評論內容。檢查你以前設置的電子郵件安全情況。如果你使用Office/Microsoft 365，請查看安全分數(shù)和ATP設置。

7. 未經(jīng)培訓的用戶

最后也是非常重要的一點，確保對你的用戶進行培訓。惡意郵件經(jīng)常進入我的收件箱，即使有所有適當?shù)腁TP設置。稍微有點偏執(zhí)和受過教育的終端用戶都可以成為你的最終防火墻，以確保惡意攻擊不會進入你的系統(tǒng)。ATP包括通過測試來看你的用戶是否會受到釣魚攻擊。

Troy Hunt最近寫了一篇文章，關于瀏覽器中如何通過使用的字體判斷是好網(wǎng)站還是惡意網(wǎng)站。他指出，密碼管理器將自動驗證網(wǎng)站，并提議只為那些與你的數(shù)據(jù)庫匹配的網(wǎng)站填寫密碼。