https://www.fireeye.com/blog/products-and-services/2021/05/how-fireeye-endpoint-security-protects-against-ransomware.html
尽管有报道表明DARKSIDE勒索软件操作已关闭,但勒索软件本身的问题只会越来越严重。我们都已经看到了勒索软件可能对关键操作产生的影响,因此所有行业的组织都必须保持警惕,以降低风险并应对威胁。不幸的是,这场战斗是不对称的。威胁团体不断地改变其战术,技术和程序(TTP),以试图绕过安全性,防御者需要跟上。
最近涉及DARKSIDE的引人注目的攻击是勒索软件即服务(RaaS)的一个示例。在此模型中,一个小组创建并维护该服务,另一小组使用该服务以受害者为目标,并与“服务提供者”共享收到的所有赎金。攻击小组就像使用开放源代码的开发人员一样使用这些工具。这些类型的攻击可能会很快发生,因此组织需要拥有正确的工具才能充分检测和响应它们。
FireEye Endpoint Security使用多个保护引擎和可根据前线响应者的经验构建的客户可部署模块来防御这些类型的攻击。基于特征码,基于机器学习和基于行为的保护功能,UAC保护模块以及FireEye Endpoint Security的Process Guard模块相结合,为客户提供了最大程度的保护。FireEye已验证FireEye Endpoint Security主动阻止了所有当前可用的DARKSIDE示例。
请阅读我们的博客文章“让大家了解DARKSIDE勒索软件的行动”,以获取有关DARKSIDE以及如何被发现和击败的更多详细信息。
要使用终端安全来击败DARKSIDE和其他勒索软件运营商所使用的技术,FireEye建议启用本帖中所述的以下设置和功能配置:
-
恶意软件保护 (Malware Protection) - 基于特征码和机器学习的保护
-
UAC保护 - 防止用户访问控制(UAC)绕过攻击的模块
-
进程保护 (Process Guard ) -防止凭证倾倒的模块
-
实时指标检测 (Real-Time Indicator Detection) - 破坏指标 (IOC) 的检测
+
恶意软件保护Malware Protection
导航到 Admin -> Policies.
选择所需的policy (或 policies).
选择恶意软件保护(Malware Protection)
恶意软件保护Malware Detection
将Signature and Heuristic Detection切换到ON,并将MalwareGuard检测切换到ON。
隔离Quarantine
将Signature and Heuristic Detection切换到ON,并将MalwareGuard检测切换到ON。
点击 Save.
+
UAC保护 (UAC Protect)
DARKSIDE和类似的威胁也会滥用Windows的用户访问控制功能,因此下载、安装并启用FireEye终端安全的UAC保护模块非常重要。这将有助减少DARKSIDE和其他类型攻击的攻击面,并提高整体安全态势。本视频提供了有关使用 FireEye Endpoint Security 的 UAC Protect 防止 UAC 绕过攻击的信息。
下载 Download
访问 FireEye Market.
下载 UAC Protect.
安装
导航到Modules -> HX Module Administration.
点击INSTALL MODULES,选择上一步下载的UAC保护模块 (UAC Protect module)。
启用Enable
导航到Admin -> Policies.
选择所需的policy (或 policies).
选择UAC Protect,并将Enable module for hosts切换到On。
点击 Save.
+
进程保护Process Guard
凭证转储是许多攻击中用于特权升级的流行技术,包括DARKSIDE实施的攻击。FireEye Endpoint Security的Process Guard模块可以防止常见的凭证转储攻击,因此下载、安装并启用FireEye Endpoint Security的Process Guard模块非常重要。更多关于使用Process Guard来防止这些类型的攻击的信息可在此博文和视频中找到。
下载Download
访问FireEye Market并下载Process Guard。
下载Install
导航到 Modules -> HX Module Administration.
点击INSTALL MODULES,选择上一步下载的UAC保护模块 (UAC Protect module)。
启用Enable
导航到Admin -> Policies.
选择所需的policy (或 policies).
选择 Process Guard.
将主机上的Enable Process Guard切换为ON,并将Block on Detection切换为ON。
点击 Save.
+
Real-Time Indicator Detection
FireEye Endpoint Security 也可以配置为根据与 DARKSIDE 和其他类似威胁有关的 IOC 检测发出警报。为了启用该功能,请遵循以下步骤,确保在环境中启用实时指标检测 (Real-Time Indicator Detection)。
导航到Admin -> Policies.
选择所需的policy (或 policies).
选择Real-Time Indicator Detection,并将Real-Time Indicator Detection切换到ON。
点击 Save.
摘要Summary
自2020年8月以来,FireEye Mandiant一直在跟踪DARKSIDE,并在Mandiant调查期间在前线发现样本和技术时主动向客户提供保护。客户应确保他们已经配置并启用了FireEye产品,以利用本帖中的信息防范DARKSIDE等威胁。此外,Mandiant Managed Defense的客户可以在配置和操作FireEye产品方面寻求帮助,以提供最大的保护。
FireEye的解决方案和Mandiant的服务提供了全面的保护,以防止DARKSIDE和其他最重要的威胁。请访问我们的网站,了解更多关于FireEye Endpoint Security、 Email Security、Network Security、和Helix(FireEye安全操作控制台)如何提供一个分层的安全方法,帮助企业看到更大的前景。
本文始发于微信公众号(安世加):技术干货 | FireEye终端安全如何防范勒索软件(如DARKSIDE)?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论