如何防止勒索軟件攻擊

王英哲

最近，勒索軟件再次登上新聞頭條。據報道，攻擊者將目標瞄準醫療保健提供者，并使用偽裝成會議邀請或發票的文件進行針對性的網絡釣魚活動，這些文件包含指向谷歌文檔的鏈接，然后跳轉至含有簽名的可執行文件鏈接的PDF文件，這些可執行文件的名稱帶有“預覽”和“測試”等特殊詞。

一旦勒索軟件進入某一系統，攻擊者就會捕獲在網絡上留下的珍貴（機密）信息，以進行橫向移動并造成更大的破壞。這樣簡單易得手的非法訪問行為實際上是可以避免的，可能是由于舊的和被遺忘的設置或過期的策略所導致，可以通過以下方法來檢查Windows中常見的不良習慣，并防止勒索軟件攻擊。

密碼存儲在組策略首選項中

2014年，MS14-025修補了組策略首選項的漏洞，并刪除了這種不安全的存儲密碼功能，但卻并未刪除密碼。勒索軟件攻擊者使用PowerShell腳本的Get-GPPPassword函數獲取了遺留的密碼。

安全建議：

查看組策略首選項，以確認企業組織是否曾經以這種方式存儲過密碼。想想有沒有在其他任何時間將一些憑據留在腳本或批處理文件中。查看管理流程，以了解在記事本文件、便簽本位置和其他未受保護的文件中是否遺留有密碼。

使用遠程桌面協議

是否仍在使用不安全且不受保護的遠程桌面協議？如今，我們仍然可以看到這樣一些報告，其中攻擊者使用暴力破解和獲取到的憑據闖入了網絡中開放的遠程桌面協議。通過遠程桌面設置服務器、虛擬機甚至Azure服務器都是非常容易的一件事。啟用遠程桌面而不采取最低限度的保護措施，例如制約或限制對特定靜態IP地址的訪問，不使用RDgateway防護措施來保護連接，或未設置雙因素身份驗證等，這意味著攻擊者可以很容易地控制您網絡。

安全建議：

可以將Duo.com之類的軟件安裝到本地計算機上，以更好地保護遠程桌面。

密碼重復使用

您或您的用戶多久重復使用一次密碼？攻擊者可以訪問在線數據轉儲位置中已獲取的密碼。經常重復使用密碼，攻擊者就會使用這些憑證，以各種攻擊序列對網站、帳戶以及域和Microsoft 365 Access進行攻擊。

安全建議：

確保在企業組織中啟用多因素身份驗證是阻止這種攻擊方式的關鍵，密碼管理器程序可以鼓勵用戶使用更好和更獨特的密碼。此外，許多密碼管理器會在用戶重復使用用戶名和密碼組合時進行提示。

未修補的權限提升漏洞

您是否在一定程度上助力了攻擊者橫向移動的行為？攻擊者一直在使用多種方式進行橫向移動，例如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升那些沒有安裝2020年8月份（或更新版本）安全補丁程序的域控制器的權限。微軟公司最近表示，攻擊者正試圖利用該漏洞實施攻擊。

安全建議：

及時安裝補丁，保持軟件處于最新狀態。

啟用SMBv1協議

即使為已知的服務器消息塊版本1（SMBv1）漏洞安裝了所有補丁程序，攻擊者仍有可能會利用其他漏洞。當您安裝Windows 10版本1709系列或更高版本時，默認情況下不啟用SMBv1協議。如果SMBv1客戶端或服務器在15天內未被使用（計算機關閉的時間除外），那么Windows 10就會自動卸載該協議。

安全建議：

SMBv1協議已有30多年的歷史，應該立即停止使用它。有多種方法可以從網絡中禁用和刪除SMBv1協議，例如組策略、PowerShell和注冊表項。

電子郵件保護措施不充分

是否已盡一切可能確保電子郵件受到合理保護，免受威脅困擾？攻擊者經常通過垃圾郵件進入網絡。安全公司的調查數據顯示，垃圾/釣魚郵件現在主要不是為了竊取用戶信息，而是傳播勒索軟件，進而勒索受害者。

導致這一趨勢的原因是勒索軟件越來越容易發送，攻擊者能更快地獲取投資回報。而基于釣魚郵件的網絡攻擊需要更多的時間才能獲利。舉例來說，竊取到的信用卡號碼必須在信用卡被取消前出售和使用，竊取到的身份信息獲得回報需要更多的時間。

安全建議：

所有企業組織都應該使用電子郵件安全服務來掃描和檢查進入網絡的郵件。在電子郵件服務器前設置一個過濾流程。無論該過濾器是Office 365高級威脅防護（ATP）還是第三方解決方案，都要在接收電子郵件之前設置一項服務來評估電子郵件發件人的信譽、掃描鏈接和檢查內容。檢查之前已設置的所有電子郵件的安全狀況，如果是Office / Microsoft 365，請查看安全分數和ATP設置。

未經培訓的用戶

最后也是尤為重要的一點，請確保您的員工不是“最薄弱的環節”。即使進行了所有適當的ATP設置，惡意電子郵件也經常能夠進入收件箱。輕度偏執/強迫癥且受過良好教育的終端用戶可能會成為您最后一道防火墻，以確保惡意攻擊不會進入您的系統。ATP包含一些測試，以了解您的用戶是否會遭受網絡釣魚攻擊。