威胁情报 | 微软发布针对交通运输及制造业勒索病毒预警及防范指南

来源:公众号“汽车信息安全”(转载公众号“安全内参”)
2020-05-13
1757


近日,微软警告称黑客组织正在进行新一轮的勒索病毒攻击,已经锁定了政府部门、医疗机构、制造业、交通运输和教育软件供应商等关键性的社会服务组织,全然不顾因攻击这些组织而造成全球危机的严重后果。


该轮攻击已持续数月之久,其网络渗透操作最早可以追溯到2020年初,之后一直在目标网络中潜伏,暗中进行访问权限累积和持久化操作,直至达到部署勒索病毒有效载荷(Payload)的最佳收益时刻。



勒索病毒攻击主要包括初始化访问(Initial Access)、凭据窃取(Credential Theft)、横向移动(Lateral Movement)、持久化(Persistent)和载荷部署(Payload Deployment)等5个阶段。


其中,初始化访问是勒索病毒攻击的第一步,是后续凭据窃取、横向移动、持久化和载荷部署的基础,其利用的是受害者网络设备或其网络边界系统的漏洞。


从微软勒索病毒的攻击数据来看,黑客通常利用以下安全漏洞:

  • lRDP(Remote Desktop Protocol,远程桌面协议)或无MFA(Multi-Factor Authentication,多因子认证)的虚拟桌面终端;

  • 不再进行安全更新的老版本操作系统(如若使用弱密码,情况会更糟糕),例如,Windows Server 2003和Windows Server 2008;

  • 错误配置的web服务器,包括IIS、电子健康记录软件、备份服务器或系统管理服务器;

  • CVE-2019-19781漏洞(Citrix 公司ADC系统);

  • CVE-2019-11510漏洞(PulseSecure公司的VPN系统);

  • CVE-2019-0604漏洞(Microsoft SharePoint服务器);

  • CVE-2020-0688漏洞(Microsoft Exchange服务器)。


虽然微软尚未发现任何利用CVE-2019-0604 (Microsoft SharePoint)、CVE-2020-0688(Microsoft Exchange)、CVE-2020-10189 (Zoho ManageEngine)漏洞的攻击,但是本着“以史为鉴”的原则,终有一天黑客会对这些漏洞加以利用以进入受害者的网络,因此它们也值得被审查和修补。


为了防范勒索病毒攻击,微软认为首要措施是从阻止漏洞利用开始,要为接入互联网的网络设备及其网络边界系统打上安全补丁。


其次,要对正在进行的攻击进行检测和响应,在计算机网络中积极地寻找勒索病毒攻击的活跃迹象,例如利用恶意的PowerShell、Cobalt Strike或其他渗透测试工具渗入红队的行为、凭据窃取的行为、安全日志篡改的行为。


一旦发现任何此类迹象,相关部门的网络安全团队应立即采取处置措施,评估安全影响,防止攻击者部署有效载荷(Payload)。


主要处置措施包括:

1)调查被入侵的终端设备或凭据;

2)隔离被攻破的终端设备;

3)重建被恶意入侵的设备。


内容引用:安全内参



主   编:杨文昌 @Vincent Yang
主理人:李   强 @Keellee




收藏
点赞
2000