近日，美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）联合发布了一份关于AvosLocker勒索软件的技术细节和防御建议的联合网络安全公告。该公告详细介绍了AvosLocker勒索软件的攻击方式和使用的工具，同时提供了防御该勒索软件的最佳实践。本文将为您解读这份公告，帮助您了解AvosLocker的威胁以及如何保护自己免受其攻击。

AvosLocker勒索软件的攻击者以合法软件和开源代码为基础，通过远程系统管理手段来入侵企业网络并窃取数据。FBI观察到威胁行为者使用自定义的PowerShell、Web Shell和批处理脚本在网络中横向移动，提升权限，并禁用系统上的安全代理。此外，AvosLocker勒索软件的攻击者还使用了一些公开可用的工具，如Notepad++、RDP Scanner和7zip，以及一些原生的Windows工具，如PsExec和Nltest。

另外，AvosLocker攻击的一个组成部分是一种名为NetMonitor.exe的恶意软件，它伪装成一个合法的网络监控工具。然而，NetMonitor实际上是一种持久化工具，每五分钟从网络中获取信息，并作为反向代理，使威胁行为者能够远程连接到被攻击的网络。

根据一项“高级数字取证团队”的调查结果，FBI制定了一条YARA规则，用于在网络中检测NetMonitor恶意软件。

实施应用程序控制机制，控制软件的执行，包括允许的程序，并防止运行未经授权的便携式工具，特别是远程访问工具。

在防御威胁行为者的最佳实践中，限制使用远程桌面服务（如RDP），通过限制登录尝试次数和实施抗钓鱼的多因素身份验证（MFA）。

应用最小权限原则，禁用不需要使用命令行、脚本和PowerShell的用户的相关功能。

保持软件和代码更新至最新版本，使用更长的密码，并以哈希格式存储密码，如果登录信息是共享的，还可以加盐处理。此外，对网络进行分割，是安全专家一直以来的常规建议。

AvosLocker勒索软件作为一种威胁企业网络安全的恶意软件，其攻击方式和使用的工具已被FBI和CISA进行了详细的分析和披露。为了保护自己免受该勒索软件的攻击，我们应该实施有效的防御措施，包括应用程序控制、限制远程桌面服务、应用最小权限原则以及保持软件和代码的更新。只有通过不断提升自身的网络安全意识和采取相应的防御措施，我们才能更好地应对AvosLocker勒索软件的威胁。

获取最新资讯、资源合集。欢迎关注公众号：黑客帮