微软预警新一轮勒索病毒攻击并发布防范指南. 2020-05-07
近日,微软警告称黑客组织正在进行新一轮的勒索病毒攻击,已经锁定了政府部门、医疗机构、制造业、交通运输和教育软件供应商等关键性的社会服务组织,全然不顾因攻击这些组织而造成全球危机的严重后果。该轮攻击已持续数月之久,其网络渗透操作最早可以追溯到2020年初,之后一直在目标网络中潜伏,暗中进行访问权限累积和持久化操作,直至达到部署勒索病毒有效载荷(Payload)的最佳收益时刻。
勒索病毒攻击主要包括初始化访问(Initial Access)、凭据窃取(Credential Theft)、横向移动(Lateral Movement)、持久化(Persistent)和载荷部署(Payload Deployment)等5个阶段。其中,初始化访问是勒索病毒攻击的第一步,是后续凭据窃取、横向移动、持久化和载荷部署的基础,其利用的是受害者网络设备或其网络边界系统的漏洞。
从微软勒索病毒的攻击数据来看,黑客通常利用以下安全漏洞:
-
lRDP(Remote Desktop Protocol,远程桌面协议)或无MFA(Multi-Factor Authentication,多因子认证)的虚拟桌面终端;
-
不再进行安全更新的老版本操作系统(如若使用弱密码,情况会更糟糕),例如,Windows Server 2003和Windows Server 2008;
-
错误配置的web服务器,包括IIS、电子健康记录软件、备份服务器或系统管理服务器;
-
CVE-2019-19781漏洞(Citrix 公司ADC系统);
-
CVE-2019-11510漏洞(PulseSecure公司的VPN系统);
-
CVE-2019-0604漏洞(Microsoft SharePoint服务器);
-
CVE-2020-0688漏洞(Microsoft Exchange服务器)。
虽然微软尚未发现任何利用CVE-2019-0604 (Microsoft SharePoint)、CVE-2020-0688(Microsoft Exchange)、CVE-2020-10189 (Zoho ManageEngine)漏洞的攻击,但是本着“以史为鉴”的原则,终有一天黑客会对这些漏洞加以利用以进入受害者的网络,因此它们也值得被审查和修补。
为了防范勒索病毒攻击,微软认为首要措施是从阻止漏洞利用开始,要为接入互联网的网络设备及其网络边界系统打上安全补丁;其次,要对正在进行的攻击进行检测和响应,在计算机网络中积极地寻找勒索病毒攻击的活跃迹象,例如利用恶意的PowerShell、Cobalt Strike或其他渗透测试工具渗入红队的行为、凭据窃取的行为、安全日志篡改的行为。一旦发现任何此类迹象,相关部门的网络安全团队应立即采取处置措施,评估安全影响,防止攻击者部署有效载荷(Payload)。主要处置措施包括:
1)调查被入侵的终端设备或凭据;
2)隔离被攻破的终端设备;
3)重建被恶意入侵的设备。
转自安全内参