之前,勒索軟件的制造(zao)成�������了一種地(di)下黑產,有(you)著技術支持服務、新(xin)聞中心以及廣告活動(dong)。與(yu)其(qi)他任何行業一樣(yang),想創造(zao)出有(you)競(jing)爭力的產品就要不斷改進。例如,LockBit 先于其他(ta)網絡犯罪組織同行,宣布(bu������)自己能通過������域控制器自動感染(ran)本地計算(suan)機。
LockBit 遵(zun)循勒索軟件即服務(RaaS)模型,為其客(ke)戶(hu)(實際(ji)發動攻擊的(de)(de)人)提(ti)供基礎設施和惡意程(cheng)序,然(ran)后(hou)收取一部(bu)分贖金分紅。攻入受害者網(wang)絡(luo)是承(cheng)包商的(de)(de)義務,就勒索(s�����uo)軟件在整個網(wang)絡(luo)中(zhong)的(de)(de)分發而言,LockBit 設計出了(le)一種相當(dang)有趣的技術。
█ LockBit 2.0 的分發
根據 Bleeping Computer 報(bao)道(dao),在攻擊者(zhe)取得網絡訪問權(qu��������an)限(xian),進(jin)入域控(kong)制器之后(hou)(hou),會(hui)在域控(kong)制器上運行惡意(yi)軟件,創建新(xin)的用戶組策(ce)略(lve)(lve),然后(hou)(hou)將其自動推(tui)送(song)給(gei)網絡中的每一臺設備。策(ce)略(lve)(lve)首先(xian)會(hui)禁用操作系統的內置安全(quan)技術(shu),隨(sui)后(hou)(hou)其他策(ce)略(lve)(lve)會(hui)在所有 Windows 計算機上(shang)創建一(yi)個計劃任(ren)務(wu������),運行勒索軟件(jian)的可執行文(we���n)件(jian)。
Bleeping Computer 援引(yin)研究員 Vitali Kremez 的話說(shuo),勒(le)索軟件使用 Windows Active Directory API 執(zhi)行輕量級(ji)目錄(lu)訪問協議(LDAP)查詢,獲(huo)取計(ji)算機列表。隨后,LockBit 2.0繞過用戶帳戶控制(UAC)并靜默運行,不會在正被加(jia)密的(de)設備上觸發任何警(jing)報。
很明(mi����ng)顯,這(zhe)是(shi)史(shi)上(shang)第一個(ge)通過用(yong)戶組策略傳(chuan)播的批發型惡意軟件。除(chu)此之外(wai),LockBit 2.0遞送勒(le)索信(xin)的(de)方(fang)式(shi)相當(dang)異想(xiang)天開,它會讓�����連(lian)接到網(wang)絡的(de)所(suo)有打印(yin)機把(ba)勒(le)索信(xin)給印(yin)出來。
█ 怎樣才(cai)能保(bao)�����護自己(ji)的公(gong)司免受(shou)類(lei)似威脅(xie)?
請記(ji)住(zhu),域控制器其(qi)實(shi)是一(yi)臺(tai) Windows 服務(wu)器,因(yin)此需(xu)要加以保護。網絡安全解(jie)決方(fang)案 - Windows Server,與我(wo)們的大多(duo)數(shu)企業端(du�������an)點安全解決方案配套提供,能保護運行(xing) Windows 的服務(wu)器免受當(dang)下(xia)的大多數(shu)威�������脅,您可以用(yong)它(t�����a)來充實自(zi)己的武器庫(ku)。
但是,出現通過組策略傳播的(de)勒索軟件,意(yi)味著攻擊(ji)進入(ru)了最終階段。惡(e)意(yi)活(huo)動(dong)應該早點加以注意(yi),比如當(dang)攻擊(ji)者第一次進入(ru)網絡或試(shi)圖劫持域控制器(qi)時,就應該注意(yi)到(dao)。托(tuo)管檢測(ce)和響應解決方案(an),����能高(gao)效檢測(ce)出此類(lei)攻擊(ji)的(de)蛛(zhu)絲馬(ma)跡。
最重(zhong)要的是,網絡犯罪分子經常通(tong)過社會工(gong)程學技(ji)術和釣魚郵件來獲得�������初始訪問權限。為了防止您的員工(gong)落(luo)入這種陷阱,請定(ding)期培訓以提高他們的網絡安全意識(shi)。
