Fireeye中如何部署勒索软件

这篇文章给大家介绍Fireeye中如何部署勒索软件，内容非常详细，感兴趣的小伙伴们可以参考借鉴，希望对大家能有所帮助。

常见初始感染载体

多个勒索软件事件中的几个初始感染媒介：包括RDP、带有恶意链接或钓鱼邮件，以及通过下载恶意软件来进行后续活动。2017年观察到RDP更频繁，2018年和2019年有所下降。这些攻击向量表明勒索软件可以通过各种方式进入受害者环境，不是所有这些攻击方式都需要用户交互。 

RDP或其他远程接入

最常见得攻击向量之一是通过远程桌面协议（RDP）登录到受害者的系统，RDP登录是受勒索软件感染前的第一个证据，目标系统可能使用默认或弱凭据，攻击者通过其他未察觉的恶意活动获取有效凭据，攻击者通过暴力破解获取登录凭据或者向其他组织个人购买了RDP访问权限。

钓鱼链接和附件

大量勒索软件案件与网络钓鱼有关，这些活动出现了一些以经济获利为目的的恶意软件家族：TRICKBOT、EMOTET和Factedamyy。

恶意文件下载感染

几起勒索软件感染可追溯到受害者访问恶意网站导致DRIDEX感染。在2019年10月发现受感染的Web基础设施，这些基础设施提供了FAKEUPDATES，DRIDEX等恶意文件。

感染时间

大多数勒索软件部署发生在感染后的三天或三天以上，从第一次发现恶意活动到部署勒索软件之间经过的天数从0到299天不等（图2）。驻留时间的范围很长，基本上第一次访问和勒索软件部署之间存在时间间隔。在75%的事件中，从最初的恶意活动到勒索软件部署之间要经过三天及以上。

表明许多组织如果能够快速检测、控制和补救，就可以避免勒索软件感染造成重大损害。几项调查发现有证据表明勒索软件安装在受害者机器中，但尚未成功执行。 

部署时间

勒索软件通常在下班后部署，在审查的76％的事件中，勒索软件是在周末或上午8:00之前下午6:00之后执行的，如图3和图4。

一些攻击者可能有意选择在下班后，周末或节假日期间部署勒索软件，最大程度发挥其有效性。 在其他情况下，攻击者将勒索软件部署与用户操作关联。 例如，在2019年针对零售和服务公司攻击事件中，攻击者创建了Active Directory组策略，可根据用户登录和注销来触发勒索软件。

意见建议

1、企业需要使用电子邮件和主机的安全产品，预防和检测常见的恶意软件，例如TRICKBOT，DRIDEX和EMOTET。

2、快速遏制和补救感染，防止攻击者进行后续活动或出售访问权。

3、网络外围和防火墙规则审核，识别任何无法访问Internet的系统。 禁用RDP和其他协议，启用多因素身份验证，尤其是可通过Internet访问的连接。

4、强制实施多因素身份验证，不允许尚未设置多因素机制的用户进行单因素身份验证。

5、定期对所有员工进行反网络钓鱼培训。

6、尽可能实施网络分段，防止潜在的感染扩散。

7、关键数据备份，确保业务连续性；必要时异地存储，攻击者经常将备份作为目标。

8、限制本地管理员帐户使用特定的登录类型。

9、使用LAPS解决方案为每个系统生成唯一的本地管理员密码。

10、禁止将明文密码存储在内存中。

11、考虑勒索软件感染网络保险。

关于Fireeye中如何部署勒索软件就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。