成为勒索软件受害者的七种愚蠢方式以及如何避免
不要让勒索软件攻击者轻易得逞。现在检查一下您的Windows网络是否有这些漏洞。您可能会对发现的结果感到惊讶。
勒索软件再次成为新闻。据报道,攻击者以医疗保健工作者为目标,并利用伪装成会议邀请或发票的文件进行具有针对性的网络钓鱼行为,这些文件包含指向谷歌文档的链接,然后跳转至含有签名的可执行文件链接的PDF文件,这些可执行文件的名称带有“预览(preview)”和“测试(test)”等特殊词。
一旦勒索软件进入某一系统,攻击者就会找到我们网络中那些唾手可得的信息,以进行横向移动,造成更大的破坏。这样的简单入侵行为是可以避免的,而且可能是由于旧的和被遗忘的设置或过期的策略所导致。以下将介绍您应如何来检查Windows网络的七个常见漏洞,以及如何防止勒索软件攻击者让您和您的团队陷入尴尬。
1. 密码存储在组策略首选项中
您是否曾经在组策略首选项中存储过密码?2014年,MS14-025公告修补了组策略首选项的漏洞,并删除了这种不安全地存储密码的功能,但并没有删除密码。勒索软件攻击者使用PowerShell脚本的Get-GPPPassword函数来获取遗留的密码。
查看您的组策略首选项,以确认您的组织机构是否曾经以这种方式存储密码。想想您是否在某个时间将一些凭证留在脚本或批处理文件中。检查您的管理流程,以了解在未受保护的记事本文件、便签本位置等是否保存有密码。
2. 使用远程桌面协议
您还在使用不安全且不受保护的远程桌面协议(RDP)吗?我仍然看到一些报告,其中攻击者利用暴力破解和所收集的凭证闯入在网络中开放的远程桌面协议。通过远程桌面设置服务器、虚拟机甚至Azure服务器是非常容易的。启用远程桌面而不采取最低限度的保护措施(例如制约或限制对特定静态IP地址的访问,不使用RDgateway防护措施来保护连接,或未设置双因素身份验证),这意味着您面临着攻击者控制您网络的极高风险。请记住,您可以将Duo.com等软件安装到本地计算机上,以更好地保护远程桌面。
3. 密码重复使用
您或您的用户多久重复使用一次密码?攻击者可以访问在线数据转储位置来获取密码。了解到我们经常重复使用密码,攻击者会使用这些凭证以各种攻击序列来攻击网站和帐户,以及域和Microsoft 365 Access。
前几天有人说:“攻击者在这些日子不会发动攻击,而是会进行登录。”确保在组织机构中已启用多因素身份验证,这是阻止这种攻击方式的关键。使用密码管理器程序可以鼓励用户使用更好和更独特的密码。此外,许多密码管理器会在用户重复使用用户名和密码组合时进行提示。
4. 权限升级漏洞未进行修补
您是否使攻击者横向移动变得容易?近期,攻击者一直在使用多种方式进行横向移动,例如名为ZeroLogon的CVE-2020-1472 NetLogon漏洞,以提升那些没有安装8月份(或更新版本)安全补丁程序的域控制器的权限。微软公司最近表示,攻击者目前正试图利用此漏洞。
5. 启用SMBv1协议
即使您为已知的服务器消息块版本1(SMBv1)漏洞安装了所有补丁程序,攻击者也可能会利用其他漏洞。当您安装了Windows 10 1709或更高版本时,默认情况下不启用SMBv1协议。如果SMBv1客户端或服务器在15天内未被使用(不包括计算机关闭的时间),则Windows 10会自动卸载该协议。
SMBv1协议已有30多年的历史,您应该放弃使用了。有多种方法可以从网络中禁用和删除SMBv1协议,例如组策略、PowerShell和注册表键值。
6. 电子邮件保护措施不足
您是否已竭尽所能确保电子邮件(攻击者的关键入口)免受威胁?攻击者经常通过垃圾邮件进入网络。所有组织机构都应使用电子邮件安全服务来扫描和检查进入您网络的信息。在电子邮件服务器前设置一个过滤流程。无论该过滤器是Office 365高级威胁防护(ATP)还是第三方解决方案,在电子邮件之前设置一项服务来评估电子邮件发件人的信誉,扫描链接和检查内容。检查之前已设置的所有电子邮件的安全状况。如果您使用的是Office / Microsoft 365,请查看安全分数和ATP设置。
7. 用户未经培训
最后但并非最不重要的一点是,请确保您的员工拥有足够的认识。即使进行了所有适当的ATP设置,恶意电子邮件也经常进入我的收件箱。稍有偏执和受过良好教育的终端用户可以成为您最后一道防火墙,以确保恶意攻击不会进入您的系统。ATP包含一些测试,以了解您的用户是否会遭受网络钓鱼攻击。
特洛伊·亨特(Troy Hunt)最近写了一篇文章,关于浏览器中使用的字体如何常常让人们难以判断哪一个是好网站和坏网站。他指出,密码管理器将自动验证网站,并只会为那些与您数据库匹配的网站填写密码。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Docker 恶意软件泛滥,开发人员需谨慎
恶意软件领域在 2017 年底发生了重大转变。随着基于云的技术的普及,一些网络犯罪团伙也开始瞄准 Docker 和 Kubernetes 系统。这些攻击大多遵循一个非常简单的模式,即威胁行为者扫描配置错误的系统,并将这些系统的管理界面暴露在网上,以便接管服务器并部署加密货币挖矿恶意软件。在过去的三年里,这些攻击愈演愈烈,一些针对 Docker(和 Kubernetes)新型恶意软件和攻击行为变得层出不穷。 然而正如 ZDNet 所述,尽管恶意软件对 Docker 服务器的攻击已经屡见不鲜,但很多网络开发者和基础架构工程师却还没有吸取教训,仍在错误配置 Docker 服务器,使其暴露在攻击之下。其中最常见的疏漏就是,让 Docker 远程管理 API 端点暴露在网上而不进行认证。 过去几年中,曾有 Doki、Ngrok、Kinsing(H2miner)、XORDDOS、AESDDOS、Team TNT 等恶意软件扫描 Docker 服务器,将 Docker 管理 API 暴露在网上,然后滥用它来部署恶意操作系统镜像、植入后门或安装加密货币矿机。 上周,奇虎 360 则发现了这些恶意软件的...
- 下一篇
Windows 10系统将可以使用Android应用了
与Windows Linux子系统类似,微软正在创建Windows 安卓子系统,未来将允许Windows 10系统上运行安卓应用了。 安卓APP占移动市场份额的70%,微软意识到这一商机,并已经开始提供一些功能来实现在Windows 10系统上启动安卓APP了,比如通过Your Phone app和支持安卓设备。通过Your Phone 来启动安卓APP 还是在手机上运行APP,而不是直接在Windows 10系统上运行APP。 通过Your Phone 启动安卓APP 据Windows Central的消息,微软正在为Windows 10创建一个新的子系统,允许安卓app通过微软应用商店进行分发,并可以在虚拟环境中运行。具体方式是将安卓app程序打包为MSIX,并允许开发者提交到微软应用商店中。该项目名为Project Latte,与Windows Linux子系统(WSL)类似,将在Windows 10上创建一个虚拟的安卓环境,允许安卓应用程序直接在Windows 10系统中运行。 目前最大的障碍是安卓APP 运行所需的图形用户接口。但WSL 2发布后,微软也开始了WSL-G(WS...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8编译安装MySQL8.0.19
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS6,CentOS7官方镜像安装Oracle11G
- Red5直播服务器,属于Java语言的直播服务器
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Windows10,CentOS7,CentOS8安装Nodejs环境