新冠病毒疫情肆虐的同时,网络犯罪分子也不消停,并打起了网络攻击以牟取非法利益的主意。
就在前不久,国家互联网应急中心发出通报称,网络不法分子利用新型冠状病毒相关题材,冒充国家卫生健康委员会、疫情防疫等相关部门,向我国部分单位和用户投放与新型肺炎疫情相关的钓鱼邮件,钓鱼邮件附带恶意链接与包含恶意代码的office文档附件,利用仿冒页面实现对用户信息的收集,诱导用户执行恶意文档中的宏,向受害用户主机上植入木马程序,实现远程控制和信息窃取。
甚至近期境外黑客组织声称,拟对我国视频监控系统发起攻击。其趁火打劫的猖獗气焰令人发指。
国家互联网应急中心在提醒有关单位和个人提高警惕的同时,各家安全厂商也纷纷响应,为应对突如其来的网络攻击做好安全防护的准备。
那么,对于用户来说,应该如何做好安全防护呢?
防范钓鱼邮件
在防范钓鱼邮件方面,国家互联网应急中心给出如下安全建议:
1. 不要轻易打开不明来历的电子邮件链接或附件,欢迎向CNCERT举报可疑线索;
2. 已打开钓鱼邮件链接或附件的用户,请及时联系网络安全技术人员,进行风险排查;
3. 安装杀毒软件,并及时更新病毒库。
防范视频监控系统攻击
从黑客组织发布的扬言攻击我国视频监控系统的推文中可以看到,黑客已经在pastebin网站上公开了70余个受控目标,经核实这些受控目标均为国内厂商的视频监控设备。
而针对视频监控系统安全防范方面,国家互联网应急中心建议:
1. 清点盘查,做好网络设备资产和数据安全管理,关闭不必要的网络服务和端口,设置强密码,加强登录审计,降低入侵风险。
2. 查缺补漏,及时跟进在用产品补丁情况,实时检测并修复系统安全漏洞,针对视频监控系统排查弱口令漏洞、后门漏洞、未授权访问漏洞、登录绕过漏洞等风险,并对境外黑客已声称探测的CVE-2019-0708(Windows远程桌面服务远程代码执行漏洞)、CVE-2009-3103(Windows畸形SMB报文远程拒绝服务漏洞)等漏洞进行重点关注,加强边界管理。
3. 强化预警,建立健全网络安全应急机制,做好数据备份,加大监测力度,发现威胁后,及时进行处置。欢迎向CNCERT报送相关情况。
通过对黑客推文的信息分析,亚信安全也建议,首先用户的密码口令需要符合复杂性要求,及时修补监控设备固件的逻辑漏洞以及开源公共组件的历史漏洞,并针对重要敏感场景建立支持高安全级别身份认证以及加密传输保护功能。此外,视频专网具有非常典型的场景化需求,要减少攻击暴露面就需要实现视频资产可视化、深度解析网络和物联网视频流量,并在此基础上精准识别网络、视频、物联协议上的威胁,同时实现安全事件的溯源取证。
防范隐藏的恶意软件
而针对恶意软件攻击,以下讲解Windows系统如何防范隐藏的恶意软件。
如果列出了Windows系统上的服务名称,您是否能够确定哪些是真实的,哪些是虚假的? 攻击者经常使用伪造的服务,其行为和外观类似于真实的Windows服务,但却包含恶意文件。 Windows Updates是真正的Windows服务,还是计算机上称为“ Windows Update”? 您是否充分了解网络中计算机上正常的服务和进程?
创建Windows服务的基线
如果用户并不明确,则需要创建一个基线来显示网络中应该包含哪些服务。 PowerShell命令get-service是一种获取系统上正在运行的服务的列表的快速方法。
为系统建立基线时,需要从基础开始。 用户需要考虑其希望系统上运行哪些服务?在服务器上是否添加了监视服务,以便在添加新服务时向用户发出警报? 尽管服务器可能会不定期地添加新服务,但往往不会经常更改。一般的安全过程包括监视服务器中服务和关键根目录的更改。例如,您可以将Sysmon添加到服务器以监视系统上的更改。
防范隐藏的恶意软件
过去,恶意软件隐藏在系统中难以被发现,它会作为服务和驱动程序侵入系统,看起来就像正常服务。 随着我们对系统进行安全加固,恶意软件为逃避安全检测而侵入到系统中的方式也愈加隐蔽。
恶意软件可能会以加密、压缩、编码或使用多种方式隐藏自己,在系统中难以被发现。 如今,防病毒软件可以通过减少文件名、服务名和类型的查找,而更多地关注攻击行为。 如果某个应用突然开始访问机密的文件,则防病毒软件将监视该应用的行为。
攻击者滥用的流行解释语言包括PowerShell、VBScript、Jscript、Visual Basic for Applications(VBA)和cmd.exe。 例如,Emotet或Trickbot通常会出现在附件中,这些附件可能隐藏诱导的电子邮件附件中的恶意JavaScript有效负载,对此可以通过防范这些附件来防止混淆的JavaScript。
首先,尝试阻止恶意负载进入系统,使用电子邮件保护功能可以扫描和查看进入企业网络的所有附件。并且,不要忽视对用户的安全培训,受过良好安全培训的用户通常可以通过异常的附件或系统运行异常时,观察出性能不佳的迹象(通常这是系统受到损害的唯一症状),以此更好地防范恶意攻击。
防护措施
攻击者在进行攻击之前一般会检查正在运行的服务,以确保它们未在虚拟机或沙箱中运行。然后攻击者通常会考虑如何隐藏自身,因此,他们往往不断变化其行为,以进一步隐藏其攻击方式。
如何防范那些通过隐藏自身来侵入系统中的猖獗的攻击? 以下是一些参考。
首先,您可以阻止.js和.jse文件添加到电子邮件并传递给办公室中的其他用户。 恶意文件通常通过启用宏的Word文档侵入。 通过对比共享Office内容的其他方法,这些方法至少不会让用户面临更大的风险。
一般来说,可以获取Windows Defender高级威胁防护(ATP)的许可证,它是基于云的服务,是Windows 10 E5或Microsoft 365 E5许可证的一部分。 它在Windows 10系统中工作并监视恶意活动。如果检测到恶意活动,ATP将通过图形化图像向用户发出警报,告知用户攻击者是如何侵入的,以及攻击活动对系统产生了什么影响。
接下来,启用“attack surface reduction rules”。 特别需要设置三项内容:
- 阻止所有Office应用程序创建子进程。
- 阻止Office应用程序创建可执行内容。
- 阻止JavaScript或VBScript启动下载的可执行内容。
用户可以使用Microsoft Intune、移动设备管理(MDM)、Microsoft Endpoint Configuration Manager、组策略或PowerShell进行设置。 例如,对于组策略,用户需要执行以下操作:
在组策略管理编辑器中,点击进入“计算机配置”;单击“管理模板”;展开到“ Windows组件”;依次点击“Windows Defender Antivirus” →“ Windows Defender Exploit Guard” →“Attack surface reduction” →“Configure Attack surface reduction rules”;点击“启用”。
然后,您可以在选项部分为每个规则分别进行设置:
点击“Show”;在“Value name”列中输入规则ID,并在“Value”列中输入所需状态。如下所示:
- Disable = 0
- Block (enable ASR rule) = 1
- Audit = 2
对于上面的列表,阻止所有Office应用创建子进程的GUID是:
D4F940AB-401B-4EFC-AADC-AD5F3C50688A
阻止Office应用程序创建可执行内容的GUID是:
3B576869-A4EC-4529-8536-B80A7769E899
最后,阻止JavaScript或VBScript启动下载的可执行内容的GUID是:
D3E037E1-3EB8-44C8-A917-57927947596D
启用审核以查看对企业网络的影响。 一旦确定对企业几乎没有影响,则将值更改为“阻止”(或1)以启用它们。
通过了解攻击者的隐藏方式,就可以确定保护用户的最佳方法。
