关于Windows Quick Assist被利用进行勒索软件攻击的分析

　　Windows Quick Assist是微软Windows操作系统中的一个内置工具，旨在帮助用户进行远程协助和支持。它允许用户与其他人共享屏幕，并提供对其计算机的控制权，以便进行故障排除、技术支持或远程指导。

　　一、基本内容

　　根据安全研究人员的发现，网络犯罪组织Storm-1811正在利用微软的客户端管理工具Quick Assist进行社交工程攻击。这些攻击以经济利益为动机，通过冒充身份等策略骗取用户授予对其设备的访问权限，并最终部署恶意工具和勒索软件。微软意识到这一滥用情况，并正在努力提高Quick Assist的透明度和信任度。

　　建议的对策包括教育用户识别和报告技术支持诈骗，以及在不使用时阻止或卸载Quick Assist等远程管理工具。然而，需要注意的是，Quick Assist在Windows 11设备上默认安装存在固有风险，因此用户和组织应保持警惕。

　　这种滥用行为暴露了社交工程攻击技术，如vishing攻击，以及威胁行为者采用各种欺骗手段获取设备访问权限的关键作用。一旦访问权限被获得，就会部署恶意负载，包括远程监控和管理工具(RMM)等，最终导致Black Basta勒索软件的部署。

　　通过提高用户意识并采取推荐的缓解措施，组织可以加强自身的防御，并减轻威胁行为者利用Quick Assist等工具带来的风险。

　　二、分析研判

　　安全研究人员发现了网络犯罪组织Storm-1811利用Quick Assist进行社交工程攻击的活动。这个组织自2024年4月中旬以来通过语音钓鱼等策略冒充可信实体，欺骗用户授予访问权限，并最终部署恶意工具和勒索软件。

　　微软已经意识到这一滥用情况并发布了技术博文。他们正在积极调查Quick Assist的滥用情况，并采取措施提高该应用程序的透明度和信任度。此外，建议用户教育自己识别和报告技术支持诈骗，并在不使用时阻止或卸载Quick Assist等远程管理工具。

　　社交工程攻击技术，如vishing攻击，在这种滥用中起着关键作用。威胁行为者采用各种策略欺骗用户并获取其设备的访问权限。一旦获得访问权限，就会部署恶意负载，包括远程监控和管理工具(RMM)，最终导致Black Basta勒索软件的部署。

　　要减轻这些风险，建议组织提高用户意识并采取推荐的缓解措施。这将有助于加强自身的防御，减少威胁行为者利用Quick Assist等工具所带来的风险。

　　三、应对策略

　　教育用户：组织应该教育用户识别技术支持诈骗，并提供相关培训和指导。用户需要了解常见的欺骗手段和警惕冒充身份的情况。

　　阻止或卸载Quick Assist等远程管理工具：如果不使用Quick Assist或其他类似的远程管理工具，用户可以考虑阻止其运行或卸载，以减少潜在的滥用风险。

　　提高警觉并保持警惕：特别是在Windows 11设备上，默认安装的Quick Assist存在固有风险，用户和组织需要提高警觉并保持警惕，尤其是在接收到来自未知或可疑来源的支持请求时。

　　以上策略旨在加强用户的防御能力，并减轻威胁行为者利用Quick Assist等工具所带来的风险。组织还应根据具体情况采取其他适当的安全措施，如更新和强化网络安全防护措施、使用多因素身份验证等。