最新版本的Hivepayload是用Rust写的,之前是用Go写的。它通常被攻击者通过利用网络钓鱼电子邮件、暴露的RDP、利用未修补的软件(FortiOS漏洞CVE-2020-12812和MicrosoftExchange的ProxyShell漏洞受到青睐;其他漏洞即将出现)或泄露的VPN凭据(即所有许多常见的方式来利用机器)和网络受到威胁)访问网络以提供服务。与大多数复杂的勒索软件有效载荷一样,Hive勒索软件运行一个进程来杀死一系列防病毒/EDR工具、删除备份并阻止恢复。正如美国网络安全机构CISA在11月17日所说,它禁用了“WindowsDefender和其他常见防病毒程序的系统注册表的所有部分”。(微软今年夏天的一项分析表明,它杀死了以下进程,其中包括常见的备份和安全工具。Windefend、msmpsvc、kavsvc、antivirservice、vmm、vmwp、sql、sap、oracle、mepocs、veeam、backup、vss、msexchange,mysql,sophos,pdfservice,backupexec,gxblr,gxvss,gxclmgrs,gxcimgr,gxmmm,gxvsshwprov,gxfwd,sap,qbcfmonitorservice,acronisagent,veeam,mvarmor,acrsch2svc等进程)攻击者偏爱域内攻击SentinelOne前面分析指出已经发现Hive使用开源工具ADRecon来映射、遍历和枚举AD环境。趋势科技最近对另一种新兴勒索软件Play的调查也强调,在信息收集阶段,勒索软件攻击者会收集有关AD域环境的更多详细信息。我们观察到不同的工具对远程系统进行AD查询,例如ADFind、MicrosoftNltest和Bloodhound枚举了主机名、共享和域信息等系统信息。此类工具也可供安全IT专业人员免费使用,对于那些从未部署过它们的人来说非常值得探索。正如Bloodhound联合创始人AndyRobbins去年所说,该工具旨在帮助绘制和利用AD中的攻击路径(现在也在AzureAD中)。正如他指出的那样。蓝队的许多人只是在专业人士或攻击者使用该工具对付自己时才了解到该工具。但现实情况是,BloodHound可以为蓝队提供的价值远远超过它为红队提供的价值,因为它向蓝队展示了他们的环境中存在哪些攻击路径,因此他们可以在对手路径中发现并利用这些攻击清除它。同时,CISA最近的Hive勒索软件指南可能已经被那些有安全意识的人看过很多次,但它也只是一些核心网络的清单。美国网络安全机构表示,组织应在操作系统、软件和固件更新发布后立即安装更新。优先修补VPN服务器、远程访问软件、虚拟机软件和已知被利用的漏洞。您还应该考虑利用集中式补丁管理系统来自动化和加速该过程。他们还应该使用尽可能多的采用防网络钓鱼MFA的服务,尤其是网络邮件、VPN、访问关键系统的帐户以及管理备份的特权帐户。如果使用RDP,则应对其进行保护和监控,限制访问的源地址,并要求使用MFA以减少凭据盗窃和重用。如果必须在外部使用RDP,请使用VPN、虚拟桌面基础结构或其他方式对连接进行身份验证和保护,然后再允许RDP连接到内部设备。维护数据的离线备份,定期维护备份和恢复。通过使用这种做法,组织可以确保它们不会受到严重干扰。确保所有备份数据都是加密的、不可变的(即不能更改或删除),并且跨越整个组织的数据基础架构。确保您的备份数据尚未被感染。禁用命令行和脚本的活动权限。权限升级和横向移动通常依赖于从命令行运行的软件工具。如果威胁行为者无法运行这些工具,他们将很难提升权限和/或横向移动。确保设备配置正确并且安全功能已启用。将网络中的服务器消息块(SMB)协议限制为仅用于必要的服务器,并删除或禁用过时的SMB版本(即SMB版本1)。组织还应确定关键系统的恢复并确定其优先级,确认受影响系统上数据的性质,并根据预先确定的关键资产列表确定恢复的优先级,包括对健康和安全、创收或其他关键服务至关重要的资产信息系统,以及它们所依赖的系统。本文翻译自:https://thestack.technology/defending-against-hive-ransomware-using-the-attackers-tools/
