使用攻击者的工具抵御Hive勒索软件

最新版本的Hive有效载荷是用Rust编写的,之前是用Go编写的。它通常会在攻击者通过利用钓鱼邮件、暴露的RDP、利用未打补丁的软件(FortiOS漏洞CVE-2020-12812和微软Exchange的ProxyShell漏洞已经受到青睐;还会有其他漏洞)或泄露的科学信条(即所有许多常见的机器和网络被破坏的方式)访问网络后进行投放。

像大多数复杂的勒索软件的有效载荷一样,Hive勒索软件运行的进程会杀死一系列的防病毒/EDR工具,删除备份并阻止恢复。正如美国网络安全机构CISA 11月17日所说,它禁用了 “系统注册表中的Windows Defender和其他常见的防病毒程序的所有部分”。 

(微软在夏天的分析显示,它终止了以下进程,其中包括常见的备份和安全工具。Windefend, msmpsvc, kavsvc, antivirservice, vmm, vmwp, sql, sap, oracle, mepocs, veeam, backup, vss, msexchange, mysql, sophos, pdfservice, backupexec, gxblr, gxvss, gxclmgrs, gxcimgr, gxmmm, gxvsshwprov, gxfwd, sap, qbcfmonitorservice, acronisagent, veeam, mvarmor, acrsch2svc等进程 )

攻击者青睐于域内的攻击 

SentinelOne在早前的分析中指出,目前已经发现Hive使用了开源工具ADRecon来映射、穿越和列举AD环境。趋势科技最近对另一种新出现的勒索软件类型Play的调查也强调,在信息搜集阶段,勒索软件攻击者会收集更多关于AD域环境的细节。我们观察到,不同的工具对远程系统进行了AD查询,如ADFind、Microsoft Nltest和Bloodhound会列举系统信息,如主机名、共享和域信息。

这样的工具也可以免费提供给安全方面的IT专业研究人士,也非常值得那些从未部署过这些工具的人探索。

正如Bloodhound的联合创建者Andy Robbins去年所说的,该工具旨在帮助映射和利用AD(现在也在Azure AD)中的攻击路径。正如他所指出的。蓝队方面的很多人都是在该工具被专业人士或攻击者用来对付他们自己时才知道的。

但实际情况是,BloodHound能够为蓝队提供的价值远远超过它对红队的价值,因为它向蓝队展示了他们的环境中存在哪些攻击路径,这样他们就可以在对手发现和利用这些攻击路径之前将其清理掉。

同时,CISA最近的Hive勒索软件指南可能已经被那些注重安全的人看到过很多次了,但它也只是针对一些核心网络的一个检查清单。

美国网络安全机构说,组织应该在操作系统、软件和固件发布后,立即安装更新。 优先修补科学服务器、远程访问软件、虚拟机软件和已知被利用的漏洞。并且还应该考虑利用一个集中的补丁管理系统来自动化管理和加速这一过程。 

他们还应该使用尽可能多的服务比如采用抗网络钓鱼的MFA,特别是网络邮件、科学、访问关键系统的账户以及管理备份的特权账户。

如果使用RDP,应确保其安全性并对其进行监控,限制访问的源地址,并要求使用MFA减少凭证盗窃和重复使用。如果RDP必须在外部使用,在允许RDP连接到内部设备之前,使用科学、虚拟桌面基础设施或其他方式来验证和保护连接。

维护数据的离线备份,并定期维护备份和恢复。通过使用这种做法,组织确保他们不会被严重干扰。

确保所有的备份数据是加密的,不可改变的(即不能被改变或删除),并覆盖整个组织的数据基础设施。确保你的备份数据还没有被感染。

禁用命令行和脚本的活动权限。特权升级和横向移动往往依赖于从命令行运行的软件工具。如果威胁者不能运行这些工具,他们将很难升级权限和/或横向移动。

确保设备的正确配置,并确保安全功能已经被启用。

在网络内限制服务器信息块(SMB)协议,只访问必要的服务器,并删除或禁用过期的SMB版本(即SMB版本1)。

组织还应该识别并优先恢复关键系统,确认受影响系统中存放的数据的性质,并根据预先确定的关键资产清单确定恢复的优先次序,包括对健康和安全、创收或其他关键服务至关重要的信息系统,以及它们所依赖的系统。

本文翻译自:https://thestack.technology/defending-against-hive-ransomware-using-the-attackers-tools/

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/136521.html<

(0)
管理的头像管理
上一篇2025-03-02 03:14
下一篇 2025-03-02 03:15

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注