如何防止勒索软件攻击

王英哲

最近，勒索软件再次登上新闻头条。据报道，攻击者将目标瞄准医疗保健提供者，并使用伪装成会议邀请或发票的文件进行针对性的网络钓鱼活动，这些文件包含指向谷歌文档的链接，然后跳转至含有签名的可执行文件链接的PDF文件，这些可执行文件的名称带有“预览”和“测试”等特殊词。

一旦勒索软件进入某一系统，攻击者就会捕获在网络上留下的珍贵（机密）信息，以进行横向移动并造成更大的破坏。这样简单易得手的非法访问行为实际上是可以避免的，可能是由于旧的和被遗忘的设置或过期的策略所导致，可以通過以下方法来检查Windows中常见的不良习惯，并防止勒索软件攻击。

密码存储在组策略首选项中

2014年，MS14-025修补了组策略首选项的漏洞，并删除了这种不安全的存储密码功能，但却并未删除密码。勒索软件攻击者使用PowerShell脚本的Get-GPPPassword函数获取了遗留的密码。

安全建议：

查看组策略首选项，以确认企业组织是否曾经以这种方式存储过密码。想想有没有在其他任何时间将一些凭据留在脚本或批处理文件中。查看管理流程，以了解在记事本文件、便签本位置和其他未受保护的文件中是否遗留有密码。

使用远程桌面协议

是否仍在使用不安全且不受保护的远程桌面协议？如今，我们仍然可以看到这样一些报告，其中攻击者使用暴力破解和获取到的凭据闯入了网络中开放的远程桌面协议。通过远程桌面设置服务器、虚拟机甚至Azure服务器都是非常容易的一件事。启用远程桌面而不采取最低限度的保护措施，例如制约或限制对特定静态IP地址的访问，不使用RDgateway防护措施来保护连接，或未设置双因素身份验证等，这意味着攻击者可以很容易地控制您网络。

安全建议：

可以将Duo.com之类的软件安装到本地计算机上，以更好地保护远程桌面。

密码重复使用

您或您的用户多久重复使用一次密码？攻击者可以访问在线数据转储位置中已获取的密码。经常重复使用密码，攻击者就会使用这些凭证，以各种攻击序列对网站、帐户以及域和Microsoft 365 Access进行攻击。

安全建议：

确保在企业组织中启用多因素身份验证是阻止这种攻击方式的关键，密码管理器程序可以鼓励用户使用更好和更独特的密码。此外，许多密码管理器会在用户重复使用用户名和密码组合时进行提示。

未修补的权限提升漏洞

您是否在一定程度上助力了攻击者横向移动的行为？攻击者一直在使用多种方式进行横向移动，例如名为ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升那些没有安装2020年8月份（或更新版本）安全补丁程序的域控制器的权限。微软公司最近表示，攻击者正试图利用该漏洞实施攻击。

安全建议：

及时安装补丁，保持软件处于最新状态。

启用SMBv1协议

即使为已知的服务器消息块版本1（SMBv1）漏洞安装了所有补丁程序，攻击者仍有可能会利用其他漏洞。当您安装Windows 10版本1709系列或更高版本时，默认情况下不启用SMBv1协议。如果SMBv1客户端或服务器在15天内未被使用（计算机关闭的时间除外），那么Windows 10就会自动卸载该协议。

安全建议：

SMBv1协议已有30多年的历史，应该立即停止使用它。有多种方法可以从网络中禁用和删除SMBv1协议，例如组策略、PowerShell和注册表项。

电子邮件保护措施不充分

是否已尽一切可能确保电子邮件受到合理保护，免受威胁困扰？攻击者经常通过垃圾邮件进入网络。安全公司的调查数据显示，垃圾/钓鱼邮件现在主要不是为了窃取用户信息，而是传播勒索软件，进而勒索受害者。

导致这一趋势的原因是勒索软件越来越容易发送，攻击者能更快地获取投资回报。而基于钓鱼邮件的网络攻击需要更多的时间才能获利。举例来说，窃取到的信用卡号码必须在信用卡被取消前出售和使用，窃取到的身份信息获得回报需要更多的时间。

安全建议：

所有企业组织都应该使用电子邮件安全服务来扫描和检查进入网络的邮件。在电子邮件服务器前设置一个过滤流程。无论该过滤器是Office 365高级威胁防护（ATP）还是第三方解决方案，都要在接收电子邮件之前设置一项服务来评估电子邮件发件人的信誉、扫描链接和检查内容。检查之前已设置的所有电子邮件的安全状况，如果是Office / Microsoft 365，请查看安全分数和ATP设置。

未经培训的用户

最后也是尤为重要的一点，请确保您的员工不是“最薄弱的环节”。即使进行了所有适当的ATP设置，恶意电子邮件也经常能够进入收件箱。轻度偏执/强迫症且受过良好教育的终端用户可能会成为您最后一道防火墙，以确保恶意攻击不会进入您的系统。ATP包含一些测试，以了解您的用户是否会遭受网络钓鱼攻击。