使用
Symantec Endpoint Protection
和 Symantec Endpoint Security 的勒索軟體緩和防護

何謂勒索軟體?

勒索軟體是一種惡意程式類別,可加密文件,使其無法使用,但保留電腦的其餘部分可供存取。勒索軟體攻擊者會嘗試迫使受害者透過明確註明的付款方式支付贖金,之後可能會讓受害者存取其資料。
目標勒索軟體比原始勒索軟體攻擊更為複雜,並且不只涉及初始感染。攻擊者已使用下列範圍的派送方法來發現多種勒索受害者組織的方式:
  • 網路釣魚
    :傳送給員工的電子郵件已偽裝為工作相關信件。
  • 惡意廣告
    :影響媒體網站以提供惡意廣告,內含稱為 SocGholish 且偽裝為軟體更新的 JavaScript 型架構。
  • 漏洞刺探利用
    :攻擊在公開伺服器上執行的易受攻擊軟體。
  • 輔助感染
    :利用預先存在的殭屍網路,以作為受害者網路的穩固基礎。
  • 不安全的服務
    :透過不安全的 RDP 服務攻擊組織,利用的方式是洩露或弱認證。

使用
Symantec Endpoint Protection Manager
或 Symantec Endpoint Security 防禦勒索軟體

目標性勒索軟體攻擊可以細分為以下幾個主要階段:初始危害、權限升級和認證竊取、水平擴散,以及備份加密和刪除。最佳防禦是攔截多種類型的攻擊,並知道大多數網路犯罪團隊用來識別安全優先順序的攻擊鏈結。不過,無法使用移除工具將勒索軟體解密。
Symantec Endpoint Protection Manager
或 Symantec Endpoint Security 上,部署並啟用下列功能。預設會啟用部分功能。
功能
Symantec Endpoint Protection
Symantec Endpoint Security
檔案型防護
賽門鐵克會隔離下列類型的檔案:Ransom.Maze、Ransom.Sodinokibi 和 Backdoor.Cobalt
預設會啟用「病毒和間諜軟體防護」。
阻止和處理病毒和間諜軟體對用戶端電腦的攻擊
預設會啟用防惡意軟體政策。
SONAR
SONAR 的行為式防護功能是另一個防禦惡意軟體的重要功能。SONAR 可防止 CryptoLocker 之類的勒索軟體變體的雙重可執行檔名稱執行。
在「病毒和間諜軟體防護」政策中,按一下
SONAR
> 「
啟用 SONAR
」(預設為啟用)
管理 SONAR
在「防惡意軟體」政策中,按一下「
啟用行為分析
」(預設為啟用)
下載鑑識或密集型防護
修改 Symantec Insight,以隔離賽門鐵克客戶群尚未證明為安全的檔案。
「下載鑑識」是預設「
病毒和間諜軟體 - 高度安全
」政策的一部分。
「下載鑑識」一律會予以啟用,而且是「
密集型防護
」政策的一部分。若要修改「密集型防護」設定,請參閱:
入侵預防系統 (IPS)
  • IPS 會攔截光靠傳統病毒定義檔無法阻止的某些威脅。IPS 是最佳防禦工具,可以防止從 Internet 不知不覺地下載軟體時所發生的偸渡式下載。攻擊者通常使用侵入套件,透過偷渡式下載進行 CryptoLocker 之類的網頁式攻擊。
  • 在某些情況下,IPS 可以中斷 command-and-control (C&C) 通訊來攔截檔案加密。C&C 伺服器是攻擊者或網路罪犯所控制的電腦,用來將指令傳送給惡意程式所破壞的系統,並從目標網路接收所竊取的資料。
  • URL 信譽
    」根據網頁的信譽分數來防止 Web 威脅。「
    啟用 URL 信譽
    」選項會攔截信譽分數低於特定臨界值的網頁。(14.3 RU1 和更新版本)。
入侵預防入門
預設不會啟用 URL 信譽。
攔截 PDF 檔案和程序檔
在「例外」政策中,按下「
Windows 例外
」>「
檔案存取
」。
使用允許清單和拒絕清單來防止已知的不良檔案和網域。按一下「
設定
」>「
拒絕清單和允許清單
」。
下載適用於 Web 應用程式架構的最新修正程式,以及網頁瀏覽器外掛程式。
  1. 使用「應用程式與裝置控制」,防止在「使用者設定檔」目錄 (如 Local 和 LocalLow) 中執行應用程式。勒索軟體應用程式會將自己安裝至 Local\Temp\Low 以外的多個目錄。
  2. 使用「端點偵測回應 (EDR)」識別具有勒索軟體行為的檔案:
    1. 停用透過電子郵件傳輸之 MS Office 檔案的巨集程序檔。
    2. 以滑鼠右鍵按一下偵測到的端點,然後選取「
      隔離
      」。若要從主控台隔離和重新加入端點,您在 Symantec Endpoint Protection Manager 中必須具有指派給「主機完整性」政策的「隔離所防火牆」政策。
  • 搜尋掃描 - 雲端主控台提供您環境中所出現之檔案、應用程式和可執行檔的綜合性檢視。您可以檢視與這些搜尋到項目相關聯之風險、漏洞、信譽、來源和其他特徵的相關資訊。
  • 啟用 EDR 時使用搜尋到的項目;SES 上的搜尋代理程式與 SEP 上的非受管偵測程式類似,但代理程式提供較多個別檔案和應用程式詳細資訊。
  • 「應用程式控制」可控制和管理您環境中不需要和未經授權應用程式的使用。SES 與 SEP 上的「應用程式控制」是不同的功能。
    應用程式控制入門
    • 對於 Symantec Agents 14.3 RU1 和更新版本,會針對未使用「應用程式隔離」和「應用程式控制」的端點使用「行為隔離」。「行為應用程式隔離」政策識別如何處理受信任應用程式所執行的可疑行為。政策中有新行為特徵或現有行為特徵時,您會在雲端主控台中收到警示以及收到政策內訊息。您可以決定行為是否為對檔案進行攻擊的結果,並指定其動作。
Symantec Endpoint Security Complete 的部分
網路流量重新導向和 Web Security Service
使用「網路流量重新導向」和安全連線設定,因此,不論在公司網路、家中還是外出,端點可以與 Symantec Web Security Service (WSS) 整合。NTR 會將用戶端上的網際網路流量重新導向至 Symantec WSS,其中根據 WSS 政策允許或攔截流量。
記憶體攻擊緩和
防範未修正軟體 (例如 JBoss 或 Apache Web 伺服器) 中攻擊者可利用的已知漏洞。
AMSI 和無檔案掃描
第三方應用程式開發人員可以保護其客戶免受動態程序檔式的惡意軟體和非傳統網路攻擊途徑的影響。第三方應用程式呼叫 Windows AMSI 介面請求掃描使用者提供的程序檔,該程序檔路由到 Symantec Endpoint Protection 用戶端。用戶端以一個判斷來回應,以指示程序檔行為是否為惡意。如果行為不是惡意的,則程序檔執行將繼續。如果程序檔的行為是惡意的,則應用程式不會運行它。在用戶端上,「偵測結果」對話方塊顯示狀態為「拒絕存取」。第三方程序檔的範例包括 Windows PowerShell、JavaScript 和 VBScript。必須啟用「自動防護」。此功能適用于 Windows 10 和更新版本的電腦。
14.3 和更新版本。
無法使用。
端點偵測和回應 (EDR)
EDR 專注於行為而不是檔案,而且可以加強魚叉式網路釣魚的防禦和 living-off-the-land 工具的使用。例如,如果 Word 通常不會在客戶環境中啟動 PowerShell,則這應該進入「攔截」模式。EDR 的 UI 可讓客戶輕鬆地瞭解常見且應該允許的行為、可見但仍應該發出警示的行為,以及不常見且應該攔截的行為。您也可以被動地處理缺口,作為調查和回應資安事端警示的一部分。資安事端警示將會顯示所有已觀測為缺口的行為,並提供功能讓這立即從資安事端詳細資料頁面進入攔截模式。
Symantec Endpoint Security Complete 的部分。
AI 型防護
賽門鐵克的目標性攻擊雲端分析利用進階機器學習來找出與目標性攻擊相關聯的活動模式。
Symantec Endpoint Security Complete 的部分。
使用稽核工具,在有機會散佈勒索軟體之前,協助您瞭解公司網路內外部的端點。
使用要針對誤報進行測試的記憶體攻擊緩和。
使用記憶體攻擊緩和政策強化 Windows 用戶端防範記憶體竄改攻擊
  • 如果用戶端偵測到可疑檔案具有高風險或非常高的風險,則該檔案會在「
    我的工作
    」標籤出現 90 天,以供您處理。
  • 如果裝置偵測到產生惡意流量的檔案,則該檔案會在「
    我的工作
    」標籤出現 90 天,以供您處理。
  • 若要對誤報進行測試,請變更「記憶體攻擊緩和」行為,使其可稽核偵測,但也讓應用程式執行。
  • 策略手冊是預先架構的工作流程,可讓您管理和保護您環境的裝置。

緩和勒索軟體的最佳實務準則

強化環境以抵禦勒索軟體
除了啟用 SEP 或 SES 保護之外,若要避免勒索軟體感染,請按照下列步驟執行。
步驟
說明
1. 保護本機環境
  1. 確保您擁有最新版本的 PowerShell
    ,並且已啟用記錄功能。
  2. 限制對 RDP 服務的存取。
    僅允許來自特定已知 IP 位址的 RDP,並確保您正在使用多重驗證。使用「檔案伺服器資源管理員 (FSRM)」,鎖定在需要使用者寫入存取權的檔案共用上寫入已知勒索程式延伸的功能。
  3. 建立計畫以考量外部方的通知
    。若要確保正確地通知到必要組織 (例如 FBI 或其他法律執行機構/機關),請務必制定驗證計畫。
  4. 建立「跳袋」,其中具有所有重大管理資訊的硬複本和已封存的軟複本
    。若要防範危害此重大資訊可用性,請將它儲存至跳袋,其中具有問題疑難排解所需的硬體和軟體。加密網路檔案時,將此資訊儲存至網路並沒有幫助。實作正確的管理帳戶使用情況稽核和控制。您也可以實作管理工作的一次性認證,協助防止竊取和使用管理認證。
  5. 建立管理工具使用情況的設定檔
    。攻擊者使用其中多種工具,在透過網路水平移動時不被偵測到。如果使用者帳戶具有以 admin 身分在少量系統上使用 PsInfo/PsExec 執行的記錄,則可能很好,但在所有系統上執行 PsInfo/PsExec 的服務帳戶都是可疑的。
2. 保護電子郵件系統
  1. 啟用雙重驗證 (2FA),防止在網路釣魚攻擊期間危害認證。
  2. 強化電子郵件系統周圍的安全架構
    ,最大限度地減少到達一般使用者收件匣的垃圾郵件數量,並確保您遵循電子郵件系統的最佳實務準則,包括對網路釣魚攻擊使用 SPF 和其他防禦方法。
3. 進行備份
定期備份用戶端和伺服器上的檔案。您可以在電腦離線時備份檔案,或是使用網路電腦和伺服器無法寫入的系統。如果您沒有專用的備份軟體,也可以將重要檔案複製到抽取式媒體。然後退出並拔掉抽取式媒體;不要讓抽取式媒體持續插著。
  1. 對備份複本實作異地儲存
    。安排至少有四週異地儲存每週完整和每日增量備份。
  2. 實作現場離線備份
    。確保您的備份未連線至網路,以防止勒索軟體將它們進行加密。最好在系統關閉網路時進行移除,以防止任何潛在的威脅散佈。
  3. 確認並測試伺服器層級備份解決方案。
    這應該已是災難復原程序的一部分。
  4. 保護備份和備份資料庫的檔案層級權限。
    請不要加密備份。
  5. 測試還原功能。
    確保還原功能支援業務需求。
用密碼和存取控制限制保護對應網路磁碟機,來鎖定這些磁碟機。對網路磁碟機上的檔案,使用唯讀存取權,除非絕對需要擁有這些檔案的寫入存取權。限制使用者權限可限制威脅可以加密哪些檔案。

如果您取得勒索軟體,應該什麼做?

目前沒有勒索軟體移除工具。沒有任何安全性產品可以解密勒索軟體所加密的檔案。萬一您的用戶端電腦感染到勒索軟體,且您的資料遭到加密,請遵循以下步驟:
  1. 不要支付贖金。
    如果您支付贖金:
    • 這不能保證攻擊者會提供解除鎖定電腦或解密檔案的方法。
    • 攻擊者會使用贖金來資助對其他使用者的其他攻擊。
  2. 在勒索軟體可以攻擊受感染電腦可以存取的網路磁碟機之前,先將受感染的電腦隔離。
  3. 使用
    Symantec Endpoint Protection Manager
    或 SES 更新病毒定義,並掃描用戶端電腦。
    新定義可能會偵測並矯正勒索軟體。只要管理用戶端並將其連線至管理伺服器或雲端主控台,
    Symantec Endpoint Protection Manager
    就會自動將病毒定義下載至用戶端。
    • Symantec Endpoint Protection Manager
      中,按下「
      用戶端
      」,在群組上按下滑鼠右鍵,然後按下「
      對群組執行指令
      」>「
      更新內容和掃描
      」。
    • 在 Symantec Endpoint Security 中,執行「
      立即掃描
      」指令。
      在用戶端裝置上執行指令
  4. 使用全新安裝重新安裝。
    如果從備份還原加密檔案,則可以取得所還原的資料,但可能會在攻擊過程安裝其他惡意程式。
  5. 將惡意軟體提交至賽門鐵克安全機制應變中心。
    如果您可以識別惡意的電子郵件或可執行檔,請將其提交至賽門鐵克安全機制應變中心。這些樣本可以讓賽門鐵克建立新特徵,以及改進防禦勒索軟體的功能。