2023年12月26日 星期二

主機中勒索病毒ransomware參考資訊

風險評估: 優先斷網避免擴散、評估組織內的安全風險,包括網絡架構(重新REVIEW網路分段,是否可能因同網段相連有安全性漏洞進而横向擴散攻擊?)、應用程式漏洞、用戶設備(來源外部維護廠商、USB使用管理)和安全政策。
    

進行專業鑑識,掌握記憶體中是否有殘存的執行程式、分析該程式及攻擊行為可能管道,做為事後改進防止再發生策略
    檢視主機內SERVICE服務、
    檢視開機執行機碼位置(如:AUTORUNS)、
    檢視日誌是否有多餘帳號被建立、何時建立何時執行?(久未使用帳戶應予以停用或刪除)
    檢視防火牆日誌是否有可疑連線、
        

更新和補丁管理: 確保所有系統、防毒軟體引擎及防護碼、應用程式和防火牆,都經常接收最新的安全更新和補丁。
    😐利用已知系統安全漏洞進行提權,如果系統未適時更新又沒安裝IDS就可能遭受攻擊
    😐可利用WEB服務安裝性漏洞,如:上傳一句話木馬(簡稱Webshell)到web服務目錄,進而提權獲取系統權限
知己知彼、百戰不殆:適時擇定內、外部系統,進行滲透測試,及早發現可能的潛在問題;執行弱點掃描,掌握可能的弱點,並進行修補;原始碼檢測避免留由OWASP TOP10問題;對內適時辦理社交工程演練,提昇同仁對資安防護意識敏感度(郵件改成預設為純文字方式讀取)。     

入侵檢測系統: 部署入侵檢測系統(IDS)以監控網絡流量和系統活動,以檢測異常行為和潛在的攻擊跡象,同時特徵碼亦需持續更新。
 

威脅情報分享: 參與威脅情報共享社群,以獲取關於最新威脅和攻擊的信息。

用戶教育和培訓: 提供安全意識培訓,讓員工了解有關勒索軟體(家中電腦是否有裝防毒並定期更新、儘量減少瀏覽器外掛軟體,因為當外掛來源遭駭時,有可能惡意程式經過此管道入侵)和釣魚攻擊的風險。
 

定期備份及BCP:定期備份重要數據,並確保備份是可恢復的。(還原時建議不要還原前1天,可能仍有安全疑慮;還原時應預先確認還原主機未受感染);另外持續定期對重要系統還原演練亦很重要(模擬異地備份,多久可還原?平日備份後應確認是否有成功?空間及時間是否足夠),確認系統備份、程式碼、虛擬機,是否可由異地還原回來,並確認資料是否正確等,如同保險一樣隨時可能會派上用場(付贖款、營運中斷、商譽損失,遠遠超過平日營運成本數百倍)。
 

密碼管理:實施具複雜度密碼政策,並定期要求員工更換密碼。(維持使用舊密碼可能不安全且仍需備妥忘記密碼方案、儘量不要將密碼儲存在瀏覽器內,瀏覽器外掛程式不使用就應關閉或移除)
 

假若上面工作沒做好,系統雖很快還原,但未落實根因分析?攻擊者很可能已摸透內部架構及系統,將情資再轉賣他人,公司再受到類似攻擊也不足為奇👀
    
    勒索軟體解鎖參考資訊:
    Nomoreransom,