近日,美国CISA(国土安全部下属的网络安全和基础设施安全局)和MS-ISAC(州际信息共享和分析中心) 联合发布了勒索软件防护指南,该指南是以客户为中心的一站式资源,提供了最佳实践和预防,保护方法,帮助美国政府和企业更好地应对勒索软件攻击。
勒索软件防护指南包括两部分:
- 勒索软件预防最佳实践
- 勒索软件响应清单
如果您的企业曾经遭遇过勒索病毒,或者面临此威胁,建议详细阅读此指南,并遵循其最佳实践。
勒索软件预防最佳实践
做好准备,以防不测
- 维护离线加密数据备份,定期测试备份至关重要。备份程序应定期进行。重要的是,备份必须离线,因为许多勒索软件变种会尝试查找和删除任何可访问的备份。保持离线状态,当前备份最为关键,可无需为组织支付勒索赎金。
1. 在需要重建关键系统时,维护定期更新的“黄金镜像”。这就需要维护镜像“模板”,可以快速部署和重建系统,预配置操作系统和相关的软件应用程序。(例如虚拟机或服务器系统,桌面系统等)
2. 除了系统镜像之外,还应该备份适用的驱动程序或应用程序安装文件(与备份,软件许可协议等一起存储)。 - 创建,维护和执行基本的网络事件响应计划以及相关的通信计划
勒索软件感染媒介
1. 勒索软件感染媒介:面向Internet的存在漏洞,错误配置的设备
- 定期进行漏洞扫描以识别和解决漏洞,尤其是暴露在Internet的设备上的漏洞,以限制攻击面
- 定期将软件和操作系统更新到最新版本
- 确保已正确配置设备并启用了安全功能。例如,禁用不用于商业目的的端口和协议(例如,远程桌面协议[RDP] –[TCP] 3389端口)
- 采用最佳实践来使用RDP和其他远程桌面服务。攻击者通常会通过暴露的和安全性较差的远程服务获得对网络的初始访问权,然后传播勒索软件。
- 禁用或阻止出站SMB服务器消息块协议,并删除或禁用过时的SMB版本。攻击者使用SMB在组织之间传播恶意软件。
2. 勒索软件感染媒介:网络钓鱼
- 实施网络安全意识和培训计划,其中包括有关如何识别和报告可疑活动或事件的指南(例如网络钓鱼)。在组织范围内进行网络钓鱼测试,以评估用户的安全意识,增强识别潜在恶意电子邮件的能力
- 在邮件网关上实施内容过滤,以过滤恶意电子邮件(例如已知恶意主题),并在防火墙处阻止可疑IP地址和URL。
- 实施基于域的邮件身份验证,报告和一致性(DMARC)策略和身份验证。
- 考虑禁用Microsoft Office宏。这些宏为攻击者打开了大门。
3. 勒索软件感染媒介:先前的恶意软件感染
- 确保防病毒软件的程序版本和签名是最新,且配置正确。此外,开启自动更新。CISA建议使用集中管理的企业防病毒解决方案,大型企业应该选择EDR,这样可以检测“高级”恶意软件和勒索软件。
1. 勒索软件感染可能是先前尚未解决的网络入侵的证据。例如,许多勒索软件感染是现有恶意软件感染的结果,例如木马,TrickBot,Dridex或Emotet。
2. 在某些情况下,勒索软件的部署只是网络入侵的最后一步,以混淆以前的攻击活动。 - 在所有资产上实施应用程序控制,以确保只运行授权的软件和进程,并且阻止所有未经授权的软件执行。
- 考虑部署入侵检测系统(IDS),以检测在勒索软件部署之前发生的命令和控制活动以及其他潜在的恶意网络活动。
4. 勒索软件感染媒介:第三方和托管服务提供商
- 请考虑与贵组织合作的第三方或托管服务提供商(MSP)的风险管理和网络卫生习惯。MSP一直是勒索软件影响客户组织的感染媒介。
- 攻击者可能会利用您的组织与第三方和MSP的信任关系。
最佳实践和安全加固指导
- 尽可能将MFA用于所有服务,尤其是对于Webmail,VPN和访问关键系统的帐户
- 将最小特权原则应用于所有系统和服务,以便用户仅具有执行工作所需的访问权限。攻击者经常寻找特权帐户,以渗透网络和传播勒索病毒。
- 利用最佳实践并启用与Microsoft Office 365等云环境关联的安全设置
- 开发并定期更新全面的网络拓扑图,该图描述组织网络中的系统和数据流(请参见图1)。这在稳定状态下很有用,可以帮助事件响应者了解应将精力集中在哪里。
- 使用网络分段或物理手段来隔离组织内的各个业务部门或部门IT资源,并保持IT与运营技术之间的分离。
- 确保您的组织具有全面的资产管理方法。
- 根据组情况,通过组策略将PowerShell的使用限制为特定用户。通常,仅应允许管理网络或Windows操作系统的那些用户或管理员使用PowerShell。更新PowerShell并启用增强的日志记录。PowerShell是一种跨平台,命令行,shell和脚本语言,是Microsoft Windows的组件。攻击者使用PowerShell部署勒索软件并隐藏其恶意活动。
- 保护域控制器(DC)。攻击者通常将DC作为攻击目标并将其用作切入点,以在整个网络范围内传播勒索软件
- 保留并充分保护来自网络设备和本地主机的日志。以便对网络安全事件进行分类和补救。可以分析日志以确定事件的影响并确定是否发生了事件。
- 对几个月内的网络活动进行基线分析,以确定行为模式,以便可以将正常的合法活动与异常的网络活动(例如,正常帐户活动与异常帐户活动)区分开来。
勒索软件响应清单
如果您不幸感染了勒索病毒,可遵循如下步骤:
- 确定受影响的设备,并立即将其隔离。
- 仅在无法断网的情况下,关闭它们的电源,以避免勒索软件广泛传播。
- 分流受影响的系统进行恢复。
- 与您的团队协商,分析并记录已发生事件。
- 联系您的内部和外部团队以及利益相关者了解他们可以提供哪些内容以帮助您缓解,响应事件并从事件中恢复。
- 对受影响的设备的样本进行系统镜像和内存捕获。此外,收集任何相关日志以及任何“前兆”恶意软件二进制文件的样本以及相关的可观察对象或危害指标(例如,可疑的命令和控制IP地址,可疑的注册表项或检测到的其他相关文件)。
- 有关可用的解密工具,请咨询联邦执法部门,因为安全研究人员已经破坏了某些勒索软件变种的加密算法。
- 研究特定勒索软件变种的行为,并遵循建议的其他任何步骤来识别受影响的系统或网络。
- 确定最初入侵所涉及的系统和帐户。这可能包括邮件帐户。
- 入侵通常涉及大量的凭证泄漏,建立立即重置所有系统的帐号密码。
- 查看感染服务器的事件记录,例如会话和打开文件列表,流量等。
- 检查现组织有的检测或防御系统(防病毒,EDR端点检测和响应,IDS,入侵防御系统等)的日志。这样做可以更加快速进行取证,攻击朔源。
Bitdefender EDR整体安全解决方案
- 在一个管理控制台,全面管理和保护本地数据中心,虚拟化,超融合环境,办公网络,云环境,移动办公,分支机机构,IoT环境
- EDR+EPP+NTA,集成的安全加固,端点检测和响应,网络流量分析和攻击取证平台
安全加固模块
安全功能 | 定义 |
风险管理 | Bitdefender内置的风险分析引擎不断计算端点的风险评分,以便你轻松对资产进行风险优先级排序,考虑几百个风险指标的严重性,提供自动/手动安全修复措施。帮助您解决配置错误,识别程序漏洞,人为风险,设备风险排行,用户风险排行,从根本上减少攻击面。 |
漏洞扫描和补丁管理 | Bitedefender的补丁管理可帮助您将操作系统和第三方应用程序保持在最新状态,所有补丁均经过安全团队验证,确保不会造成打补丁后系统出问题。 |
防火墙/入侵检测 | 建立网络访问规则,防止未经授权的访问,屏蔽攻击流量。例如:封锁SMB端口,137,138,139,445,3389 端口。设置指定设备列表,只能访问指定目标/服务器的特定端口 |
应用程序控制,白名单 | 主动发现资产中安装的软件列表,进程列表。配置规则,只允许指定的软件,进程运行。 |
应用程序控制,黑名单 | 拒绝指定的进程运行,屏蔽某些软件,例如wechat.exe。 |
流量扫描 | 阻止web威胁,扫描HTTP, HTTPS, POP3, SMTP,识别C2和阻止攻击流量 |
设备控制 | 阻止USB,蓝牙等各种设备 |
全盘加密 | 保护机密数据,防止攻击者窃取数据 |
邮件安全 | 过滤钓鱼邮件,恶意邮件 |
预防模块
安全功能 | 定义 |
全球最大的病毒特征库 | 阻止已知恶意软件 |
B-HAVE启发式引擎 | 识别新型恶意软件,全球超38%的安全公司使用Bitdefender引擎 |
高级威胁情报 | 全球5亿用户,最大的威胁情报网络,3秒响应全球任意位置的最新威胁 |
人工智能和机器学习反恶意软件 | Bitdefender高级机器学习技术使用超过80000+模型,40000多种静态和动态功能,它们不断接受来自全球5亿个端点的数万亿个样本的训练,这确保了Bitdefender在恶意软件检测方面的全球领先性,提前预测攻击并应对网络犯罪的增长 |
高级反漏洞利用 | 保护系统内存和易受攻击的应用程序,防止未经授权的进程提权和访问资源,保护LSASS进程免于泄露密码哈希和安全设置等。例如:Office,浏览器,文档阅读器,媒体文件和运行时(即Flash,Java),自定义OA, ERP程序等 |
网络攻击防护 | 在检测试图在特定端点上获取访问权限的网络攻击技术,防止攻击者利用网络漏洞来访问系统,进行横向移动。例如:拦截RDP,SSH暴力破解攻击,端口扫描,Samba攻击,服务漏洞攻击,窃取密码,网络漏洞利用,SQL注入攻击,目录遍历,僵尸网络攻击,恶意网址,远程IoT攻击,TOR/Onion连接等等。 |
无文件攻击防护 | 在预执行阶段,执行阶段将其阻断。并拦截各种无文件攻击黑客工具,混淆、加密技术。例如:检测一系列系统自带工具的命令行。 |
沙盒分析器 | 在虚拟容器中运行可疑文件和URL,进行安全检测。使用机器学习和行为分析来评估可疑文件,提供近乎实时的裁决并采取基于策略的修复措施,提供有关恶意软件行为的深度报告。安全自动化,无需手动抓可疑文件到厂商分析 |
高级威胁防护,持续零信任进程监控 | 主动防护技术,持续零信任监控操作系统中运行的所有进程。它可以捕获可疑活动或异常进程行为,例如尝试伪装进程类型,在另一个进程的空间中执行代码(劫持进程内存以进行权限提升),复制,删除文件,隐藏进程,枚举应用程序等等。它可以自动采取适当的处理措施,包括终止进程和撤消进程所做的系统修改。它在检测未知高级恶意软件(包括勒索病毒)方面非常有效。 |
勒索病毒免疫 | Bitdefender对已入库的数百万种勒索病毒提供勒索疫苗,阻止勒索病毒在机器上运行 |
勒索病毒缓解 | 基于机器学习技术,和全球超过5亿个终端的1万亿个样本进行持续优化。无论恶意软件或勒索病毒被修改和增加多少,Bitdefender都可以在预执行前和运行时模式下精准检测和拦截新的勒索病毒行为特征,在不依赖病毒库的情况下阻断勒索病毒,并自动恢复被加密的文件。 |
异常检测 | 基于机器学习技术,自动学习了解正常模式,持续监控内存,注册表,网络,用户行为,识别异常 |
EDR端点检测和响应模块
安全功能 | 定义 |
---|---|
攻击可视化 | 实时告警、展示正在进行中的攻击活动,显示了详细的攻击路径,显示了恶意软件正在执行的详细逐个播放。为 IT 专业人员提供了建议的主动步骤,以缓解入侵。 |
根本原因分析 | 事前和事后的攻击可见性涵盖了所有基础架构元素(端点,网络和云),使安全分析人员可以对阻止的攻击和正在进行的可疑活动执行根本原因分析。 |
安全响应 尽早响应威胁 |
扫描入侵指标:确定事件影响范围,影响的设备,连接的网络。 例如:查询哪些设备与中勒索的机器有流量连接,确定可疑文件影响哪些设备,哪些设备访问了恶意IP,哪些设备注册表被更改,哪些设备有可疑的RDP连接,识别运行命令shell的设备,等等。 |
黑名单:拒绝文件在网络中执行。 例如:钓鱼附件,进程,文件。或手动导入MD5,SHA256建立阻止规则。 日益完善的规则将带来更强大的安全防线。 |
|
Mitre ATT&CK 框架集成:加速检测与响应,安全分析师可利用该信息在网络攻防战中占据有利地位。全面透视攻击者使用的相关战术、技术及流程(TTP),从而优化安全策略。 | |
隔离主机:管理员可在控制台远程发送命令,一键将机器断网,防止威胁扩散。 | |
安装补丁:立即修复系统和第三方持续漏洞 | |
远程 Shell 连接:连接机器技术取证,运行命令操作等。 | |
结束进程:一键命令结束可疑进程 | |
沙盒分析:将事件中的可疑文件,攻击者所使用的可疑文件提交到沙盒分析,深度检测。 | |
VirusTotal 分析:结合查询VT的更多扫描结果 | |
Google分析:使用搜索引擎搜索获取相关洞察 | |
事件搜索:基于历史日志记录进行广泛的搜索查询,猎杀威胁。 |
勒索病毒防护指南,完整报告下载
http://www.bitdefender-cn.com/downloads/docs/CISA勒索病毒防护指南.pdf
阅读更多文章