知名汽车制造商本田近日遭遇勒索软件攻击,其客户服务和金融服务均受到不同程度的影响。一家安全公司调查了勒索软件攻击,根据VirusTotal数据库中发现的样本,该公司似乎已成为Snake勒索软件的目标。通过这起事件,我们可以思考用户如何才能更好地保护Windows网络免受勒索软件的攻击。据安全专家称,该恶意软件是通过名为nmon.bat的文件启动的。调用扩展名为.bat的恶意文件意味着警报工具将发现网络中使用了脚本或批处理文件。在许多环境中,这将是一个允许的文件。攻击者使用名为KB3020369.exe的文件来执行攻击。这很有趣,因为MSKBID3020369适用于Windows7服务堆栈补丁。不过实际的补丁文件名并不是KB3020369.exe,而是Windows6.1-KB3020369-x64.msu。攻击者将恶意文件命名为一种模式,以对技术专业人员隐藏。Snake勒索软件从受感染的系统中删除卷影副本,然后杀死与虚拟机、工业控制系统、远程管理工具和网络管理软件相关的进程。在一份攻击分析报告中,第三方研究人员指出,攻击序列是针对Honda域内的域。这表明攻击者的目标是本田网络。攻击者往往会选择薄弱环节进行攻击,那就是人。他们一直隐藏在网络中,直到他们准备好发起攻击,这可能长达几个月。这不包括攻击者花费在网络基础设施上进行侦察的时间。以本田遭受的勒索软件为例,用户如何更好地保护Windows网络:提防未经授权的工具、脚本和组策略设置据网络安全专家称,一些攻击使用计划任务。用户可以在事件日志中查看类似的未授权活动。按照以下步骤检查本机Windows事件日志:运行eventvwr.msc转到“Windows日志”。用鼠标右键单击安全日志,然后单击以选择属性。确保选择了“启用日志记录”。将日志大小增加到至少1GB。查找事件4698事件ID以查找最新的计划任务。您可以设置PowerShell任务以在创建和运行新计划任务时发送电子邮件通知。您可能需要第三方SMTP服务(例如smtp2go.com)来设置警报。或者,您可以使用其他方法来设置通知,或者查看您的审计软件是否提供此类内置服务。有趣的是,向关键用户(尤其是域管理员)发送定制电子邮件,识别易受网络钓鱼攻击的员工,可以为攻击者提供进入网络内部的途径。在家工作尤其意味着使用更多的远程访问技术。与操作系统漏洞相比,标识符是2020年的一个容易攻击的目标。检查您提供给关键员工的权限和工具。用户可以在公司内部混合搭配Microsoft365许可证,这样就不是每个人都需要使用相同的许可证或相同级别的保护。查看包含高级威胁防护(ATP)的Microsoft365E5许可证的要求,该服务最近在启用ATP的机器中包含了UEFI恶意软件检测器。正如微软最近指出的那样,“新的UEFI扫描器通过与主板芯片组交互,在运行时读取固件文件系统。”MicrosoftDefenderATP还提供了一个可执行操作列表:检查组策略域和脚本文件夹是否存在恶意文件攻击者通常从管理员用来管理网络的同一位置发起攻击。花点时间验证您保存的文件和脚本位置。检查添加到用于管理的文件夹中的任何新文件。检查文件夹的适当权限以确保只有授权用户才能添加或调整这些管理脚本。对特权帐户使用多重身份验证最重要的一点是,如果需要远程访问,请确保域管理员已启用多重身份验证(MFA)。还为Microsoft365帐户启用MFA。检查哪些帐户在您的网络中的哪些位置使用。检查您的备份策略通过良好的备份,您可以恢复被勒索软件锁定的文件而无需支付赎金。定期进行自动备份并确保您的备份受到保护。执行备份过程的用户帐户不应与登录用户相同。最后,在你的循环中有一个脱机备份过程,使媒体脱机或脱机,防止攻击者删除备份文件。再次重申:拥有备份是从勒索软件攻击中恢复的关键。
