內部網路擴散

（一）說明
勒索軟體在感染公司或組織內部主機後，會滲透企業或組織網路並在內部散播，企業或組織必須具備足夠的網路能見度來主動回應或控制這些威脅所造成的影響，並減少重複感染的風險。當攻擊者進入公司內部後，通常以網域控制站 (Domain Controller, DC)為目標並將其當作傳播勒索軟體的中轉站。攻擊者在取得AD網路的控制權後，可以將勒索軟體散播至AD網路中所有的主機，資產損害的程度也大為提升。在資訊安全防禦的策略中，當攻擊事件發生時，應啟動資安事件應變計畫，並即時掌控資安影響範圍，藉此阻斷資安損害的範圍。當企業內部已遭勒索軟體入侵，為避免其他主機或重要資產遭到勒索軟體加密和外洩，應立即阻斷勒索軟體在內部網路擴散的路徑，實行斷網、隔離等防護措施。
（二）防護建議
(1)使用實體網路分段，分離不同組織單位和IT資源，例如：OT網路和IT網路之間分離。
(2)定期更新包含網路、系統和數據流的拓樸，可以在資安事件發生時，提供較全面的檢視，以阻斷損害擴散。
(3)確保網域控制站 (Domain Controller, DC)的漏洞可以及時修補。
(4)確保主機和DC之間的溝通必須使用SMB簽名(SMB signing)，防止惡意程式執行重送攻擊。
(5)網域控制站(Domain Controller, DC)的主機必須架設防火牆，並防止外部網路的存取訪問。
(6)啟用網路設備和本地主機的系統日誌記錄檔功能，提供資安事件調查和追溯的參考。
(7)企業或組織內部主機必須安裝資安防護軟體，並維持更新狀態。

文/摘自TWCERT/CC 台灣電腦網路危機處理暨協調中心