勒索軟體是一種惡意攻擊,會終結或加密檔案和資料夾,防止存取重要資料或中斷重要商務系統。
勒索軟體有兩種類型:
🟣商用勒索軟體是利用網路釣魚散佈的惡意程式碼,或在裝置之間散佈,並在要求勒索之前加密檔案。
🟣人為操作的勒索軟體是由採用多種攻擊方法的主動式網路犯罪者所規劃且協調的攻擊。 在許多情況下,已知的技術和工具會用來滲透您的組織、尋找值得勒索的資產或系統,然後要求勒索。 入侵網路時,攻擊者會探查可加密或外泄的資產和系統。 攻擊者接著會先加密或外泄資料,再要求勒索。
網路攻擊通常會針對低權限使用者等所有可存取的實體啟動,然後快速橫向移動,直到攻擊者得以存取有價值的資產。攻擊者會使用橫向移動來識別並取得網路中敏感性帳戶和電腦的存取權,這些帳戶和電腦會共用帳戶、群組和電腦中儲存的登入認證。一旦攻擊者成功橫向移動到關鍵目標,攻擊者也可以利用和存取網域控制站。敏感性帳戶、網域系統管理員或高度敏感性資料均為重要資產。 適用於身分識別的 Microsoft Defender在整個攻擊終止鏈中識別來源的這些進階威脅,並將其分類為下列階段:
➡偵察
➡遭入侵的認證
➡橫向移動
➡網域支配
➡Exfiltration
橫向移動攻擊通常使用許多不同的技術來達成。 攻擊者最常用的某些方法為認證竊取和票證傳遞。 在這兩種方法中,攻擊者會使用您的非敏感性帳戶進行橫向移動,方法是利用共用帳戶、群組和具有敏感性帳戶之登入認證的非敏感性電腦。
為了向安全團隊提供對付網路攻擊的可見性和解決方案,Microsoft 365 Defender (過去通稱為Microsoft threat protection , MTP)連結了跨多個網域和解決方案(包括端點、身份、資料和應用程式)的威脅信號。這種全面性的可見性,使 Microsoft 365 Defender 能夠在 Microsoft 365 資料中進行預防、偵測和回應。
主動式偵測的重要性
由於人為操作的勒索軟體通常是由主動式攻擊者執行,而這些攻擊者可能正在執行即時滲透和探索最有價值資料和系統的步驟,因此偵測勒索軟體攻擊所花費的時間非常重要。
如果快速偵測到預先勒索活動,嚴重攻擊的可能性就會降低。 預先勒索階段通常包含下列技術:初始存取、偵察、認證竊取、橫向移動和持續性。 這些技術一開始看起來可能不相關,而且通常會在雷達圖下飛來飛去。 如果這些技術導致勒索階段,通常為太晚。 Microsoft 365 Defender可協助識別這些小型且看似不相關的事件,可能是較大勒索軟體活動的一部分。
防堵橫向移動的三大基本措施,Microsoft 365 Defender 協助團隊實現防堵措施的最大效益:
🟢限制特殊權限網域帳戶
劃分特殊權限網域帳戶的作業,可透過實作分層模型來完成。分層模型可將您的 AD 環境劃分為三個具備不同權限和存取的不同層級,進而協助防堵認證竊取。建立各自獨立的層級,可切斷從標準使用者工作站前往應用程式伺服器或網域控制器的橫向移動。這表示,如果標準使用者帳戶的機器遭到入侵,而且攻擊者取得了密碼雜湊,對方將無法通往更敏感的帳戶和伺服器。這三個層級會使用 0 到 2 進行區分,而 0 為受到最多限制的層級:
🟢使用管理員權限限制和保護本機帳戶
本機管理存取權限極有可能開啟擷取認證和橫向移動的可能性,進而讓本機管理員淪為攻擊者的主要目標。更糟糕的是,本機管理員的管理和監控作業經常遭到忽視。許多時候,組織中所有機器的本機管理員密碼,只會在作業系統部署期間設定一次,這也包括管理員本身使用的機器。如果不同用戶端機器上的本機管理員密碼並未進行隨機處理,攻擊者就能竄改某個機器上的本機帳戶密碼,並自動取得網路內所有用戶端機器的管理員層級存取權限。
🟢使用 Windows Defender Firewall 限制輸入流量
只要移除從任一電腦連至另一電腦的能力,即可輕鬆實作這項防堵措施,並透過簡單且完善的方式提高攻擊者橫向移動的難度。
主機架構的防火牆向來以難以管理著稱,不過,使用 Windows Defender 防火牆封鎖 Windows 用戶端上的輸入流量,則一點也不難。多數連接用戶端和伺服器的應用程式,都會從用戶端啟動網路通訊,而伺服器預期不會啟動任何輸入連線。不過,這項防堵措施若要發揮效用,就必須將 Windows Defender 防火牆設定成封鎖所有的輸入連線 (除非特別機經過任一規則允許)。這對停用本機防火牆規則合併而言至關重要,原因在於:如果不這麼做,此一防堵措施的效果勢必會大打折扣。
Comments are closed, but trackbacks and pingbacks are open.