你不会真的认为勒索软件浪潮即将结束吧?鉴于有关大规模勒索软件活动的报道减少,你可能会这么想。但这种相对的无线电静默可能是由于该领域最近的一些发展。

Ransomware攻击更有针对性,更有效。其中一个主要的攻击载体是远程桌面协议(RDP)。远程桌面,顾名思义,就是远程控制PC的选项。使用目前可用的软件,你几乎感觉就像坐在那台电脑后面——这就是它如此危险的原因。

典型的场景

通过社会工程或者暴力攻击,威胁的演员获取远程桌面的登录凭据。通过使用这种访问,他们可以部署专门的工具:

  • 提高他们的特权(在需要的时候)
  • 留后门以备将来使用
  • 控制更广泛的渗透网络
  • 部署勒索软件并留下付款说明

前三个步骤对企业来说是最重要的,因为它们需要在发现违规行为后进行检查。必威官网多少

我们觉得有必要告诉你,通过支付赎金,你是在为威胁行为人提供便利让他们继续犯罪。但我们也知道,有时候,你就是别无选择。然而,你所能控制的是尽你最大的努力来防止这类攻击的发生。

锁定RDP

如果您想部署软件来远程操作您的工作计算机,RDP本质上是一种安全且易于使用的协议,它的客户端预装在Windows系统上,也可用于其他操作系统。有一些事情你可以做,使它更难获得访问你的网络未经授权的RDP连接:

  • 将RDP访问置于aVPN所以它不能直接访问。
  • 或者使用远程桌面网关服务器,这也为您提供了一些额外的安全性和操作优势,例如2足总为例。当您试图弄清楚可能发生了什么事情时,RDP会话的日志可以证明特别有用。由于这些日志不在被攻击的机器上,因此入侵者很难伪造它们。
  • 为了使蛮力攻击更难成功,它有助于使用强密码
  • 不要禁用网络级认证(NLA),因为它提供了一个额外的身份验证级别。启用它,如果它还没有。

网络级别身份验证

  • 修改RDP端口所以端口扫描器寻找开放的RDP端口将错过你的。缺省情况下,服务器侦听端口3389的TCP和UDP。改变端口不会阻止一个坚定的攻击者,但它会阻止你出现在一个可能容易的目标列表中。
  • 将用户限制在真正需要它的人。我将在下面更详细地解释这一点,因为这不能从远程桌面设置中完成,但需要安全策略。
  • 限制对特定ip的访问如果可能的话。不需要大量需要RDP访问的ip。

补丁以防止特权提升

在Windows电脑上有几种提高用户特权的可能性,甚至在使用RDP时也是如此,但是所有已知的方法都被修补过了。因此,像往常一样,确保您的系统是完全最新的,并打了补丁,以防止特权提升和其他利用被使用。

将用户限制在真正需要它的人

这个过程的第一步是创建一个允许远程访问的用户组。您可以在组策略管理控制台(GPMC.MSC)中完成此操作。

  • 在这个控制台中,选择计算机配置> Windows设置>安全设置>受限组
  • 右键单击受限制的组然后点击添加组
  • 点击浏览>类型远程>点击检查名字您应该看到“远程桌面用户”。
  • 点击好吧添加组对话框。
  • 点击添加单击“此群组成员”框旁的浏览
  • 输入域组的名称,然后单击检查名字>点击好吧>好吧
  • 在PC上执行提升的命令提示符并输入GPUPDATE /力刷新GPolicy。
  • 控件下添加的组选择用户单击“REMOTE”选项卡上的“SYSTEM PROPERTIES”。

现在可以通过打开来打开相关的本地策略控制面板>系统和安全>管理工具>本地安全策略>用户权限分配

用户权限分配

从“允许通过远程桌面服务登录”策略中删除“Administrators”组,当然不会授予用户名为“Administrator”的帐户访问权限。这个账户对入侵者来说是完美的——他们很乐意接管它。同时删除“远程桌面用户组”,因为这看起来是矛盾的。因为默认情况下,用户组“Everyone”是“Remote Desktop Users”组的成员。

现在,添加您特别希望对该系统具有远程访问权限的用户,并确保他们拥有所需的权限,但仅此而已。限制他们可以执行的操作,以限制帐户一旦受到损害时所能造成的损害。

从外部和内部保护你的网络

我们可能不需要告诉你,你需要保护你的商业网络不受外部影响。我们可以肯定这一切都在你的掌控之中,对吧?

但是在RDP攻击的环境中,应用一些内部安全措施也很重要。可以远程连接的pc应该能够使用网络资源,但不能破坏它们。使用限制性策略来避免任何用户(而不仅仅是远程用户)可能造成的破坏。

袭击的后果

如果您受到了通过RDP的勒索软件攻击的影响,您需要采取一些步骤来更好地保护您的网络和端点。在你从备份中恢复文件或支付赎金后,你需要检查你的系统,看看攻击者是否做了任何改变,以使他们将来的访问更容易——特别是如果你决定支付赎金的话。通过付钱给威胁演员,你实际上是在自己背上画了一个靶心。你现在是一个理想的目标,因为他们知道,如果有必要,你会花钱拿回你的文件。

为了确保没有遗留的人工制品,不仅要检查远程进入的PC后门木马和黑客工具,还要检查任何网络设备,可以从被破坏的PC访问。

远程访问

我们真的需要远程访问吗?

这是一个有效的问题,你不应该害怕问它。即使您遵循所有的安全指导方针,RDP总有可能存在的弱点可以利用,无论它们是否已经被罪犯发现(尚未)。如果没有真正的需要,就不要将这些弱点引入到您的网络中。可能的后果可能是毁灭性的,尤其是没有有效的备份策略

自从发表这篇文章以来,Malwarebytes已经添加了必威平台APP强力保护到基于云的星云安全控制台检查出来。