Fireeye中如何部署勒索軟件

這篇文章給大家介紹Fireeye中如何部署勒索軟件，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

常見初始感染載體

多個勒索軟件事件中的幾個初始感染媒介：包括RDP、帶有惡意鏈接或釣魚郵件，以及通過下載惡意軟件來進行后續活動。2017年觀察到RDP更頻繁，2018年和2019年有所下降。這些攻擊向量表明勒索軟件可以通過各種方式進入受害者環境，不是所有這些攻擊方式都需要用戶交互。 

RDP或其他遠程接入

最常見得攻擊向量之一是通過遠程桌面協議（RDP）登錄到受害者的系統，RDP登錄是受勒索軟件感染前的第一個證據，目標系統可能使用默認或弱憑據，攻擊者通過其他未察覺的惡意活動獲取有效憑據，攻擊者通過暴力破解獲取登錄憑據或者向其他組織個人購買了RDP訪問權限。

釣魚鏈接和附件

大量勒索軟件案件與網絡釣魚有關，這些活動出現了一些以經濟獲利為目的的惡意軟件家族：TRICKBOT、EMOTET和Factedamyy。

惡意文件下載感染

幾起勒索軟件感染可追溯到受害者訪問惡意網站導致DRIDEX感染。在2019年10月發現受感染的Web基礎設施，這些基礎設施提供了FAKEUPDATES，DRIDEX等惡意文件。

感染時間

大多數勒索軟件部署發生在感染后的三天或三天以上，從第一次發現惡意活動到部署勒索軟件之間經過的天數從0到299天不等（圖2）。駐留時間的范圍很長，基本上第一次訪問和勒索軟件部署之間存在時間間隔。在75%的事件中，從最初的惡意活動到勒索軟件部署之間要經過三天及以上。

表明許多組織如果能夠快速檢測、控制和補救，就可以避免勒索軟件感染造成重大損害。幾項調查發現有證據表明勒索軟件安裝在受害者機器中，但尚未成功執行。 

部署時間

勒索軟件通常在下班后部署，在審查的76％的事件中，勒索軟件是在周末或上午8:00之前下午6:00之后執行的，如圖3和圖4。

一些攻擊者可能有意選擇在下班后，周末或節假日期間部署勒索軟件，最大程度發揮其有效性。 在其他情況下，攻擊者將勒索軟件部署與用戶操作關聯。 例如，在2019年針對零售和服務公司攻擊事件中，攻擊者創建了Active Directory組策略，可根據用戶登錄和注銷來觸發勒索軟件。

意見建議

1、企業需要使用電子郵件和主機的安全產品，預防和檢測常見的惡意軟件，例如TRICKBOT，DRIDEX和EMOTET。

2、快速遏制和補救感染，防止攻擊者進行后續活動或出售訪問權。

3、網絡外圍和防火墻規則審核，識別任何無法訪問Internet的系統。 禁用RDP和其他協議，啟用多因素身份驗證，尤其是可通過Internet訪問的連接。

4、強制實施多因素身份驗證，不允許尚未設置多因素機制的用戶進行單因素身份驗證。

5、定期對所有員工進行反網絡釣魚培訓。

6、盡可能實施網絡分段，防止潛在的感染擴散。

7、關鍵數據備份，確保業務連續性；必要時異地存儲，攻擊者經常將備份作為目標。

8、限制本地管理員帳戶使用特定的登錄類型。

9、使用LAPS解決方案為每個系統生成唯一的本地管理員密碼。

10、禁止將明文密碼存儲在內存中。

11、考慮勒索軟件感染網絡保險。

關于Fireeye中如何部署勒索軟件就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。