美国政府已经更新了AvosLocker勒索软件分支机构在攻击中使用的工具列表，包括开源实用程序以及自定义PowerShell和批处理脚本。

在一项联合网络安全咨询中，联邦调查局（FBI）和网络安全和基础设施安全局（CISA）还共享YARA规则，用于检测以合法网络监控工具为幌子的恶意软件。

混合使用开源和合法软件

众所周知，AvosLocker 勒索软件附属公司使用合法软件和开源代码进行远程系统管理，以破坏和泄露企业网络中的数据。

FBI 观察到威胁参与者使用自定义 PowerShell、Web shell 和批处理脚本在网络上横向移动，增加其权限，并禁用系统上的安全代理。

在更新的公告中，这些机构共享以下工具，作为 AvosLocker 勒索软件附属公司武器库的一部分：

Splashtop Streamer，Tactical RMM，PuTTy，AnyDesk，PDQ Deploy，用于后门访问的Atera Agent远程管理工具开源网络隧道实用程序：Ligolo，Chisel对手仿真框架 用于指挥和控制的钴打击和银子Lazagne和Mimikatz用于收获凭证FileZilla 和 Rclone 用于数据泄露

在AvosLocker攻击中观察到的其他公开可用的工具包括Notepad++，RDP Scanner和7zip。合法的原生Windows工具，如PsExec和Nltest也被看到。

AvosLocker攻击的另一个组成部分是一个名为NetMonitor.exe的恶意软件，它伪装成合法进程，并且“具有合法网络监控工具的外观”。

但是，NetMonitor 是一种持久性工具，每五分钟从网络发出一次，并充当反向代理，使威胁参与者能够远程连接到入侵网络。

利用“高级数字取证小组”调查的细节，联邦调查局创建了下面的YARA规则来检测网络上的NetMonitor恶意软件。

“AvosLocker 附属公司已经入侵了美国多个关键基础架构部门的组织，影响了 Windows、Linux 和 VMware ESXi 环境” - FBI 和 CISA

抵御 AvosLocker 勒索软件

CISA和FBI建议组织实施应用程序控制机制来控制软件的执行，包括允许的程序，并防止运行未经授权的实用程序的便携式版本，尤其是远程访问工具。

防御威胁参与者的部分最佳做法是通过限制登录尝试次数和实施防网络钓鱼多重身份验证 （MFA） 来限制使用远程桌面服务（如 RDP）。

应用最小特权原则也是建议的一部分，组织应为不需要 PowerShell 进行作业的用户禁用命令行、脚本和使用 PowerShell。

保持软件和代码更新到最新版本，使用更长的密码，以散列格式存储它们，并在登录名被共享时对其进行加盐，以及对网络进行分段，仍然是安全专家的不断建议。