25%的公司因采用AI收入显著增长

一旦勒索软件进入某一系统，攻击者就会找到我们网络中那些唾手可得的信息，以进行横向移动，造成更大的破坏。这样的简单入侵行为是可以避免的，而且可能是由于旧的和被遗忘的设置或过期的策略所导致。以下将介绍您应如何来检查Windows网络的七个常见漏洞，以及如何防止勒索软件攻击者让您和您的团队陷入尴尬。

1. 密码存储在组策略首选项中

您是否曾经在组策略首选项中存储过密码?2014年，MS14-025公告修补了组策略首选项的漏洞，并删除了这种不安全地存储密码的功能，但并没有删除密码。勒索软件攻击者使用PowerShell脚本的Get-GPPPassword函数来获取遗留的密码。

查看您的组策略首选项，以确认您的组织机构是否曾经以这种方式存储密码。想想您是否在某个时间将一些凭证留在脚本或批处理文件中。检查您的管理流程，以了解在未受保护的记事本文件、便签本位置等是否保存有密码。

2. 使用远程桌面协议

您还在使用不安全且不受保护的远程桌面协议(RDP)吗?我仍然看到一些报告，其中攻击者利用暴力破解和所收集的凭证闯入在网络中开放的远程桌面协议。通过远程桌面设置服务器、虚拟机甚至Azure服务器是非常容易的。启用远程桌面而不采取最低限度的保护措施(例如制约或限制对特定静态IP地址的访问，不使用RDgateway防护措施来保护连接，或未设置双因素身份验证)，这意味着您面临着攻击者控制您网络的极高风险。请记住，您可以将Duo.com等软件安装到本地计算机上，以更好地保护远程桌面。

3. 密码重复使用

您或您的用户多久重复使用一次密码?攻击者可以访问在线数据转储位置来获取密码。了解到我们经常重复使用密码，攻击者会使用这些凭证以各种攻击序列来攻击网站和帐户，以及域和Microsoft 365 Access。

前几天有人说：“攻击者在这些日子不会发动攻击，而是会进行登录。”确保在组织机构中已启用多因素身份验证，这是阻止这种攻击方式的关键。使用密码管理器程序可以鼓励用户使用更好和更独特的密码。此外，许多密码管理器会在用户重复使用用户名和密码组合时进行提示。

4. 权限升级漏洞未进行修补

您是否使攻击者横向移动变得容易?近期，攻击者一直在使用多种方式进行横向移动，例如名为ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升那些没有安装8月份(或更新版本)安全补丁程序的域控制器的权限。微软公司最近表示，攻击者目前正试图利用此漏洞。

5. 启用SMBv1协议

即使您为已知的服务器消息块版本1(SMBv1)漏洞安装了所有补丁程序，攻击者也可能会利用其他漏洞。当您安装了Windows 10 1709或更高版本时，默认情况下不启用SMBv1协议。如果SMBv1客户端或服务器在15天内未被使用(不包括计算机关闭的时间)，则Windows 10会自动卸载该协议。
 

从 Blackrota 和此前经历过的攻击中得到的教训是，Docker 已不再是一项边缘技术，其几乎每天都在遭受有针对性的大规模攻击。因此，建议在生产系统中运行 Docker 系统的公司、Web 开发人员和工程师仔细查看 Docker 官方文档 ，确保已通过适当的身份验证机制(例如基于证书的身份验证系统)保护了 Docker 的远程管理功能。

总而言之，随着 Docker 在现代基础架构设置中的地位越来越突出，且攻击事件不断增加，针对 Docker 系统的恶意软件菌株数量也在逐月增加，开发者是时候该认真对待 Docker 安全了。
 

恶意软件领域在 2017 年底发生了重大转变。随着基于云的技术的普及，一些网络犯罪团伙也开始瞄准 Docker 和 Kubernetes 系统。这些攻击大多遵循一个非常简单的模式，即威胁行为者扫描配置错误的系统，并将这些系统的管理界面暴露在网上，以便接管服务器并部署加密货币挖矿恶意软件。在过去的三年里，这些攻击愈演愈烈，一些针对 Docker(和 Kubernetes)新型恶意软件和攻击行为变得层出不穷。

然而正如 ZDNet 所述，尽管恶意软件对 Docker 服务器的攻击已经屡见不鲜，但很多网络开发者和基础架构工程师却还没有吸取教训，仍在错误配置 Docker 服务器，使其暴露在攻击之下。其中最常见的疏漏就是，让 Docker 远程管理 API 端点暴露在网上而不进行认证。

过去几年中，曾有 Doki、Ngrok、Kinsing(H2miner)、XORDDOS、AESDDOS、Team TNT 等恶意软件扫描 Docker 服务器，将 Docker 管理 API 暴露在网上，然后滥用它来部署恶意操作系统镜像、植入后门或安装加密货币矿机。

上周，奇虎 360 则发现了这些恶意软件的最新菌株，名为 Blackrota。这是一个用 Go 语言编写的恶意后门程序，利用了 Docker Remote API 中未经授权的访问漏洞。鉴于其 C2 域名为 blackrota.ga，因此被命名为 Blackrota。

目前，该 Blackrota 后门程序仅被发现可用于 Linux，使用方式还尚未清楚。研究人员也不知道其是否存在 Windows 版本、是否被用于加密货币挖矿，或者是否被用于在强大的云服务器之上运行 DDoS 僵尸网络。

（编辑：衡水站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!