Storm-0558:深入探讨网络安全威胁
2023 年 6 月,微软成为一次重大网络攻击的受害者,揭露了一个被称为 Storm-0558 的高级网络威胁。这次攻击震惊了网络安全界,因为它展示了新的黑客复杂程度。据信是由中国威胁组织策划的,Storm-0558不遗余力地针对高价值的 Exchange Online 邮箱,其中包括美国商务部长和美国驻华大使的帐户被盗。本文调查了针对 Microsoft 的 Storm-0558 网络攻击的详细信息。我们将研究 Storm-0558 的起源、Microsoft 的哪些安全漏洞使其能够破坏其系统,以及 Microsoft 采取了哪些措施来响应和限制此威胁造成的损害。
Storm-0558 不仅仅是一种网络威胁,它代表了数字安全领域的重大范式转变。这主要是因为它以间谍为目的,对美国和欧洲的外交、经济和立法管理机构表现出特定的兴趣。威胁行为者表现出了高度的技术实力,采用了凭据收集和网络钓鱼活动等策略。此外,OAuth 令牌攻击,攻击者利用漏洞窃取身份验证和数据。
微软的数据泄露:公司失败的地方
全球科技巨头微软在应对 Storm-0558 的影响时发现自己深陷困境。公司分析揭露了严重的安全漏洞,为攻击者铺平了道路。其中包括一个2021年系统崩溃,导致签名密钥暴露、随后检测关键数据失败、有缺陷的库更新以及开发人员依赖非功能性库。人为因素也发挥了作用,开发人员假设库的功能与其文档一致。正如 Microsoft 所承认的那样,这些失误中的每一个都已得到解决,但修复的具体细节仍未公开。最初的妥协、威胁行为者两年未检测到的访问以及缺乏全面的日志数据引发了人们对库的有效性的担忧。微软的内部安全控制。微软采取了缓解措施,包括强化密钥发行系统、阻止密钥使用以及实施防御机制。然而,挥之不去的问题凸显了防御持续且复杂的网络威胁所固有的挑战。
如何应对网络攻击
从恶意软件或勒索软件攻击中恢复的第一步是通过断开与互联网的连接并删除所有连接的设备来隔离受感染的计算机。然后,您必须联系地方当局。就美国居民和企业而言,联邦调查局和网络犯罪投诉中心(IC3)要报告网络攻击,您必须收集有关该攻击的所有信息,包括:
- 勒索信截图
- 与威胁行为者的沟通(如果有的话)
- 加密文件的示例
但是,如果您愿意联系专业人士,然后什么都不做。让每台受感染的机器保持原样并要求紧急勒索软件清除服务。重新启动或关闭系统可能会影响恢复服务。捕获实时系统的 RAM 可能有助于获取加密密钥,捕获植入文件(即执行恶意负载的文件(在目标系统上执行未经授权的操作的软件代码或程序))可能会被逆向工程并导致数据解密或了解其运行方式。您必须不删除勒索软件,并保留所有攻击证据。这对于数字取证这样专家就可以追溯到黑客组织并识别他们。当局可以通过使用受感染系统上的数据调查这次袭击并找到责任人。网络攻击调查与任何其他刑事调查没有什么不同:它需要证据来找到攻击者。
1.联系您的事件响应提供商
网络事件响应是响应和管理网络安全事件的过程。事件响应保留者是与网络安全提供商签订的服务协议,允许组织获得有关网络安全事件的外部帮助。它通过安全合作伙伴为组织提供结构化的专业知识和支持,使他们能够在网络事件期间快速有效地做出响应。事件响应保留人员可以让组织安心,在网络安全事件发生之前和之后提供专家支持。事件响应保留程序的具体性质和结构将根据提供商和组织的要求而有所不同。良好的事件响应保留者应该强大而灵活,提供经过验证的服务来增强组织的长期安全态势。如果您联系您的 IR 服务提供商,他们可以立即接管并指导您完成勒索软件恢复的每个步骤。但是,如果您决定与 IT 团队一起删除勒索软件并恢复文件,则可以按照以下步骤操作。
2. 识别勒索软件毒株
可以通过检查文件扩展名来识别哪些勒索软件感染了您的计算机(某些勒索软件使用文件扩展名作为其名称),使用勒索软件 ID 工具,否则会出现在赎金单上。有了这些信息,您就可以查找公共解密密钥。您还可以通过其 IOC 检查网络威胁类型。
3. 删除勒索软件并消除漏洞利用工具包
在恢复数据之前,您必须保证您的设备没有勒索软件,并且攻击者无法通过漏洞利用套件或其他漏洞进行新的攻击。勒索软件删除服务可以删除网络威胁、创建用于调查的取证文档、消除漏洞并恢复数据。
4.使用备份恢复数据
备份对于数据恢复的重要性怎么强调都不为过,尤其是在数据完整性存在各种潜在风险和威胁的情况下。备份是全面数据保护策略的关键组成部分。它们提供了从各种威胁中恢复的方法,确保操作的连续性并保留有价值的信息。面对网络攻击,恶意软件会加密您的数据并要求付费才能释放数据,备份可以让您恢复信息,而不会屈服于攻击者的要求。请确保定期测试和更新您的备份程序,以增强其防范潜在数据丢失情况的有效性。进行备份的方法有多种,因此您必须选择正确的备份介质,并至少在异地和离线状态下存储一份数据副本。
5.联系勒索软件恢复服务
如果您没有备份或需要帮助删除勒索软件和消除漏洞,请联系数据恢复服务。支付赎金并不能保证您的数据会归还给您。恢复每个文件的唯一有保证的方法是拥有备份。如果您不这样做,勒索软件数据恢复服务可以帮助您解密和恢复文件。SalvageData 专家可以安全地恢复您的文件并防止勒索软件攻击您的网络,请与我们的恢复专家 24/7 联系。
预防网络攻击的步骤
Storm-0558 强烈提醒我们,网络安全是一项集体责任。组织,无论规模大小,都可以采取切实可行的措施来加强对此类威胁的防御。
实施多重身份验证 (MFA) 和条件访问策略:
在在线安全领域,拥有强大的方法来确保只有合适的人才能访问重要内容至关重要,尤其是在处理 Storm-0558 等威胁时。多重身份验证 (MFA) 就像一个额外的盾牌,使用户能够使用多种方式证明他们的身份。这使得未经许可的人更难潜入。条件访问策略就像我们可以设置的额外规则。它们帮助决定某人何时可以或不能参与某些事情。定期检查和更新这些规则很重要。这就像调整我们门上的锁,以确保它们仍然能够抵御坏人可能尝试的新伎俩。
优化日志记录实践
打开特殊日志,例如跟踪某人何时查看电子邮件的日志 (MailItemsAccessed),可以在出现任何可疑情况时提醒您。定期检查日志对于识别模式、异常或任何妥协迹象是必不可少的。对日志分析的持续警惕可以增强检测和快速响应潜在安全事件的能力。组织应投资先进的日志管理解决方案并分配资源以确保对日志数据进行彻底审查。
监控横向运动
网络内的横向移动是高级网络威胁寻求扩大其影响力所采用的常见策略。组织必须建立并严格执行安全控制措施,监控横向移动,以防止未经授权的访问。这些控制措施包括部署入侵检测系统、网络分段和行为分析,以跟踪威胁行为者的横向进展。实施严格的访问控制可确保只有授权人员才能在网络的不同部分之间导航。
推荐阅读:格子安全吗?深入探讨如何向 Plaid 提供您的银行信息
网络安全培训
网络安全培训是加强防御不断变化的网络威胁的基础。对个人和组织进行关键实践、安全协议和尖端技术方面的教育,可确保数字资产的安全。意识计划使个人能够识别并规避常见的网络犯罪策略。包括网络钓鱼电子邮件和社会工程,它们操纵人类行为来泄露机密信息。基本的安全卫生涉及重要的实践,例如强大的密码管理和修补漏洞的软件更新。加上实施多重身份验证以增加安全层。技术培训涵盖网络和端点安全,传授有关使用防火墙、入侵检测系统和 VPN 保护网络的知识。它还包括保护个人设备免受恶意软件和未经授权的访问。
