如何保护Windows网络免受勒索软件攻击

IT168评论知名汽车制造商本田近日收到勒索软件攻击,该公司的客户服务和金融服务受到不同程度的影响。一家安全公司对勒索软件攻击事件进行了调查,根据在VirusTotal数据库中发现的样本,该公司似乎已经成为Snake勒索软件的目标。通过这一事件,我们可以思考用户应该如何更好地保护Windows网络免受勒索软件的攻击。根据安全专家的说法,该恶意软件是通过一个名为nmon.bat的文件启动的。用一个。Bat扩展意味着警报工具将看到网络中使用的脚本或批处理文件。在许多环境中,这将是允许的文件。攻击者使用名为KB3020369的文件。要攻击的Exe。这很有趣,因为微软知识库编号3020369用于Windows7服务堆栈补丁。但是,实际补丁的文件名不是KB3020369。Exe,但Windows6。1-KB3020369-x64。密西西比州州立大学。攻击者将恶意文件命名为模式,并将其隐藏在技术专业人员面前。Snake勒索软件从受感染的系统中删除卷影副本,然后杀死与虚拟机,工业控制系统,远程管理工具和网络管理软件相关的进程。第三方研究人员在一份攻击分析报告中指出,攻击顺序是在本田域内解决域。这说明攻击者的目标是本田的网络。攻击者往往会选择薄弱环节,也就是人员。他们会躲在网络中,直到做好攻击准备,这一过程可能需要几个月的时间。这还不包括攻击者对网络基础设施进行侦察所花费的时间。以本田遭遇的勒索软件为例,用户如何更好地保护Windows网络:注意未经授权的工具,脚本和组策略设置。网络安全专家介绍,有些攻击使用一个预定的任务。用户可以在事件日志中查看类似的未经授权的活动。按照以下步骤检查本机Windows事件日志:1。运行eventvwr.msc 2以输入Windows日志。3。右键单击安全日志,然后单击以选择属性。4.确保选中启用日志记录。5.将日志大小至少增加到1GB。6,查找事件4698的事件ID,即可查找最新的计划任务。您可以设置PowerShell任务,以便在创建和运行新的计划任务时发送电子邮件通知。您可能需要第三方SMTP服务(如smtp2go.com)来设置警报。此外,您还可以使用其他方法来设置通知,或者查看您的审计软件是否提供此类内置服务。易受网络钓鱼攻击的员工向关键用户(特别是域管理员)发送的有趣的自定义电子邮件可为攻击者提供访问网络内部的权限。特别是,在家工作意味着使用更多的远程访问技术。与操作系统漏洞相比,标识符是一个在2020年容易实现的目标。检查您提供给关键员工的许可证和工具。用户可以在公司内混合和匹配Microsoft365许可证,这样就不是每个人都需要使用相同的许可证或相同级别的保护。查看包括高级威胁保护(ATP)的Microsoft365E5许可证的要求,该许可证最近在启用ATP的计算机中包括UEFI恶意软件检测器。正如微软最近指出的,新的UEFI扫描程序在运行时通过与主板芯片组交互来读取固件文件系统。MicrosoftDefenderATP还提供了一系列可以执行的操作:检查策略域和脚本文件夹中是否存在恶意文件。