最新版本的Hive有效載荷是用Rust編寫的，之前是用Go編寫的。它通常會在攻擊者通過利用釣魚郵件、暴露的RDP、利用未打補丁的軟件（FortiOS漏洞CVE-2020-12812和微軟Exchange的ProxyShell漏洞已經(jīng)受到青睞；還會有其他漏洞）或泄露的VPN信條（即所有許多常見的機器和網(wǎng)絡被破壞的方式）訪問網(wǎng)絡后進行投放。

像大多數(shù)復雜的勒索軟件的有效載荷一樣，Hive勒索軟件運行的進程會殺死一系列的防病毒/EDR工具，刪除備份并阻止恢復。正如美國網(wǎng)絡安全機構(gòu)CISA 11月17日所說，它禁用了 "系統(tǒng)注冊表中的Windows Defender和其他常見的防病毒程序的所有部分"。 

(微軟在夏天的分析顯示，它終止了以下進程，其中包括常見的備份和安全工具。Windefend, msmpsvc, kavsvc, antivirservice, vmm, vmwp, sql, sap, oracle, mepocs, veeam, backup, vss, msexchange, mysql, sophos, pdfservice, backupexec, gxblr, gxvss, gxclmgrs, gxcimgr, gxmmm, gxvsshwprov, gxfwd, sap, qbcfmonitorservice, acronisagent, veeam, mvarmor, acrsch2svc等進程 )

攻擊者青睞于域內(nèi)的攻擊 

SentinelOne在早前的分析中指出，目前已經(jīng)發(fā)現(xiàn)Hive使用了開源工具ADRecon來映射、穿越和列舉AD環(huán)境。趨勢科技最近對另一種新出現(xiàn)的勒索軟件類型Play的調(diào)查也強調(diào)，在信息搜集階段，勒索軟件攻擊者會收集更多關于AD域環(huán)境的細節(jié)。我們觀察到，不同的工具對遠程系統(tǒng)進行了AD查詢，如ADFind、Microsoft Nltest和Bloodhound會列舉系統(tǒng)信息，如主機名、共享和域信息。

這樣的工具也可以免費提供給安全方面的IT專業(yè)研究人士，也非常值得那些從未部署過這些工具的人探索。

正如Bloodhound的聯(lián)合創(chuàng)建者Andy Robbins去年所說的，該工具旨在幫助映射和利用AD（現(xiàn)在也在Azure AD）中的攻擊路徑。正如他所指出的。藍隊方面的很多人都是在該工具被專業(yè)人士或攻擊者用來對付他們自己時才知道的。

但實際情況是，BloodHound能夠為藍隊提供的價值遠遠超過它對紅隊的價值，因為它向藍隊展示了他們的環(huán)境中存在哪些攻擊路徑，這樣他們就可以在對手發(fā)現(xiàn)和利用這些攻擊路徑之前將其清理掉。

同時，CISA最近的Hive勒索軟件指南可能已經(jīng)被那些注重安全的人看到過很多次了，但它也只是針對一些核心網(wǎng)絡的一個檢查清單。

美國網(wǎng)絡安全機構(gòu)說，組織應該在操作系統(tǒng)、軟件和固件發(fā)布后，立即安裝更新。?優(yōu)先修補VPN服務器、遠程訪問軟件、虛擬機軟件和已知被利用的漏洞。并且還應該考慮利用一個集中的補丁管理系統(tǒng)來自動化管理和加速這一過程。 

他們還應該使用盡可能多的服務比如采用抗網(wǎng)絡釣魚的MFA，特別是網(wǎng)絡郵件、VPN、訪問關鍵系統(tǒng)的賬戶以及管理備份的特權(quán)賬戶。

如果使用RDP，應確保其安全性并對其進行監(jiān)控，限制訪問的源地址，并要求使用MFA減少憑證盜竊和重復使用。如果RDP必須在外部使用，在允許RDP連接到內(nèi)部設備之前，使用VPN、虛擬桌面基礎設施或其他方式來驗證和保護連接。

維護數(shù)據(jù)的離線備份，并定期維護備份和恢復。通過使用這種做法，組織確保他們不會被嚴重干擾。

確保所有的備份數(shù)據(jù)是加密的，不可改變的（即不能被改變或刪除），并覆蓋整個組織的數(shù)據(jù)基礎設施。確保你的備份數(shù)據(jù)還沒有被感染。

禁用命令行和腳本的活動權(quán)限。特權(quán)升級和橫向移動往往依賴于從命令行運行的軟件工具。如果威脅者不能運行這些工具，他們將很難升級權(quán)限和/或橫向移動。

確保設備的正確配置，并確保安全功能已經(jīng)被啟用。

在網(wǎng)絡內(nèi)限制服務器信息塊（SMB）協(xié)議，只訪問必要的服務器，并刪除或禁用過期的SMB版本（即SMB版本1）。

組織還應該識別并優(yōu)先恢復關鍵系統(tǒng)，確認受影響系統(tǒng)中存放的數(shù)據(jù)的性質(zhì)，并根據(jù)預先確定的關鍵資產(chǎn)清單確定恢復的優(yōu)先次序，包括對健康和安全、創(chuàng)收或其他關鍵服務至關重要的信息系統(tǒng)，以及它們所依賴的系統(tǒng)。

本文翻譯自：https://thestack.technology/defending-against-hive-ransomware-using-the-attackers-tools/