最新版本的Hive有效載荷是用Rust編寫(xiě)的，之前是用Go編寫(xiě)的。它通常會(huì)在攻擊者通過(guò)利用釣魚(yú)郵件、暴露的RDP、利用未打補(bǔ)丁的軟件（FortiOS漏洞CVE-2020-12812和微軟Exchange的ProxyShell漏洞已經(jīng)受到青睞；還會(huì)有其他漏洞）或泄露的VPN信條（即所有許多常見(jiàn)的機(jī)器和網(wǎng)絡(luò)被破壞的方式）訪問(wèn)網(wǎng)絡(luò)后進(jìn)行投放。

像大多數(shù)復(fù)雜的勒索軟件的有效載荷一樣，Hive勒索軟件運(yùn)行的進(jìn)程會(huì)殺死一系列的防病毒/EDR工具，刪除備份并阻止恢復(fù)。正如美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)CISA 11月17日所說(shuō)，它禁用了 "系統(tǒng)注冊(cè)表中的Windows Defender和其他常見(jiàn)的防病毒程序的所有部分"。 

(微軟在夏天的分析顯示，它終止了以下進(jìn)程，其中包括常見(jiàn)的備份和安全工具。Windefend, msmpsvc, kavsvc, antivirservice, vmm, vmwp, sql, sap, oracle, mepocs, veeam, backup, vss, msexchange, mysql, sophos, pdfservice, backupexec, gxblr, gxvss, gxclmgrs, gxcimgr, gxmmm, gxvsshwprov, gxfwd, sap, qbcfmonitorservice, acronisagent, veeam, mvarmor, acrsch2svc等進(jìn)程 )

攻擊者青睞于域內(nèi)的攻擊 

SentinelOne在早前的分析中指出，目前已經(jīng)發(fā)現(xiàn)Hive使用了開(kāi)源工具ADRecon來(lái)映射、穿越和列舉AD環(huán)境。趨勢(shì)科技最近對(duì)另一種新出現(xiàn)的勒索軟件類(lèi)型Play的調(diào)查也強(qiáng)調(diào)，在信息搜集階段，勒索軟件攻擊者會(huì)收集更多關(guān)于AD域環(huán)境的細(xì)節(jié)。我們觀察到，不同的工具對(duì)遠(yuǎn)程系統(tǒng)進(jìn)行了AD查詢，如ADFind、Microsoft Nltest和Bloodhound會(huì)列舉系統(tǒng)信息，如主機(jī)名、共享和域信息。

這樣的工具也可以免費(fèi)提供給安全方面的IT專(zhuān)業(yè)研究人士，也非常值得那些從未部署過(guò)這些工具的人探索。

正如Bloodhound的聯(lián)合創(chuàng)建者Andy Robbins去年所說(shuō)的，該工具旨在幫助映射和利用AD（現(xiàn)在也在Azure AD）中的攻擊路徑。正如他所指出的。藍(lán)隊(duì)方面的很多人都是在該工具被專(zhuān)業(yè)人士或攻擊者用來(lái)對(duì)付他們自己時(shí)才知道的。

但實(shí)際情況是，BloodHound能夠?yàn)樗{(lán)隊(duì)提供的價(jià)值遠(yuǎn)遠(yuǎn)超過(guò)它對(duì)紅隊(duì)的價(jià)值，因?yàn)樗蛩{(lán)隊(duì)展示了他們的環(huán)境中存在哪些攻擊路徑，這樣他們就可以在對(duì)手發(fā)現(xiàn)和利用這些攻擊路徑之前將其清理掉。

同時(shí)，CISA最近的Hive勒索軟件指南可能已經(jīng)被那些注重安全的人看到過(guò)很多次了，但它也只是針對(duì)一些核心網(wǎng)絡(luò)的一個(gè)檢查清單。

美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)說(shuō)，組織應(yīng)該在操作系統(tǒng)、軟件和固件發(fā)布后，立即安裝更新。?優(yōu)先修補(bǔ)VPN服務(wù)器、遠(yuǎn)程訪問(wèn)軟件、虛擬機(jī)軟件和已知被利用的漏洞。并且還應(yīng)該考慮利用一個(gè)集中的補(bǔ)丁管理系統(tǒng)來(lái)自動(dòng)化管理和加速這一過(guò)程。 

他們還應(yīng)該使用盡可能多的服務(wù)比如采用抗網(wǎng)絡(luò)釣魚(yú)的MFA，特別是網(wǎng)絡(luò)郵件、VPN、訪問(wèn)關(guān)鍵系統(tǒng)的賬戶以及管理備份的特權(quán)賬戶。

如果使用RDP，應(yīng)確保其安全性并對(duì)其進(jìn)行監(jiān)控，限制訪問(wèn)的源地址，并要求使用MFA減少憑證盜竊和重復(fù)使用。如果RDP必須在外部使用，在允許RDP連接到內(nèi)部設(shè)備之前，使用VPN、虛擬桌面基礎(chǔ)設(shè)施或其他方式來(lái)驗(yàn)證和保護(hù)連接。

維護(hù)數(shù)據(jù)的離線備份，并定期維護(hù)備份和恢復(fù)。通過(guò)使用這種做法，組織確保他們不會(huì)被嚴(yán)重干擾。

確保所有的備份數(shù)據(jù)是加密的，不可改變的（即不能被改變或刪除），并覆蓋整個(gè)組織的數(shù)據(jù)基礎(chǔ)設(shè)施。確保你的備份數(shù)據(jù)還沒(méi)有被感染。

禁用命令行和腳本的活動(dòng)權(quán)限。特權(quán)升級(jí)和橫向移動(dòng)往往依賴于從命令行運(yùn)行的軟件工具。如果威脅者不能運(yùn)行這些工具，他們將很難升級(jí)權(quán)限和/或橫向移動(dòng)。

確保設(shè)備的正確配置，并確保安全功能已經(jīng)被啟用。

在網(wǎng)絡(luò)內(nèi)限制服務(wù)器信息塊（SMB）協(xié)議，只訪問(wèn)必要的服務(wù)器，并刪除或禁用過(guò)期的SMB版本（即SMB版本1）。

組織還應(yīng)該識(shí)別并優(yōu)先恢復(fù)關(guān)鍵系統(tǒng)，確認(rèn)受影響系統(tǒng)中存放的數(shù)據(jù)的性質(zhì)，并根據(jù)預(yù)先確定的關(guān)鍵資產(chǎn)清單確定恢復(fù)的優(yōu)先次序，包括對(duì)健康和安全、創(chuàng)收或其他關(guān)鍵服務(wù)至關(guān)重要的信息系統(tǒng)，以及它們所依賴的系統(tǒng)。

本文翻譯自：https://thestack.technology/defending-against-hive-ransomware-using-the-attackers-tools/