Přístup a osvědčené postupy ransomwaru DART od Microsoftu

Ransomwar provozovaný člověkem není problém se škodlivým softwarem – jde o lidský kriminální problém. Řešení, která se používají k řešení problémů s komoditami, nestačí k tomu, aby se zabránilo hrozbě, která se více podobá ohrožení státu, který:

• Zakáže nebo odinstaluje antivirový software před šifrováním souborů.
• Zakáže služby zabezpečení a protokolování, aby se zabránilo zjišťování.
• Vyhledá a poškodí nebo odstraní zálohy před odesláním požadavku na výkupné.

Tyto akce se běžně provádí s legitimními programy, které už můžete mít ve svém prostředí pro administrativní účely. V rukou zločinců se tyto nástroje používají k útoku škodlivě.

Reakce na zvyšující se hrozbu ransomwaru vyžaduje kombinaci moderní podnikové konfigurace, aktuálních bezpečnostních produktů a pečlivosti vyškolených bezpečnostních pracovníků při zjišťování a odpovídání na hrozby před ztrátou dat.

Tým Microsoft Detection and Response Team (DART) reaguje na bezpečnostní kompromisy, které zákazníkům pomáhají stát se kyberzlozými. Dart poskytuje reaktivní reakci na incidenty na místě a vzdálená proaktivní vyšetřování. Dart využívá strategická partnerství Microsoftu s bezpečnostními organizacemi po celém světě a interními skupinami produktů Microsoftu, aby poskytovala co nejúplnější a nejúplnější vyšetřování.

Tento článek popisuje, jak DART zpracovává útoky ransomwaru pro zákazníky Microsoftu, abyste mohli zvážit použití prvků jejich přístupu a osvědčených postupů pro vlastní příručku pro operace zabezpečení.

Podrobnosti najdete v těchto částech:

• Jak dart používá služby zabezpečení Microsoftu
• Přístup DART k provádění vyšetřování incidentů ransomwaru
• Doporučení a doporučené postupy dartu

Jak dart používá služby zabezpečení Microsoftu

Dart do značné míry spoléhá na data pro všechna vyšetřování a používá stávající nasazení bezpečnostních služeb Microsoftu, jako je Microsoft Defender pro Office 365, Microsoft Defender prokoncový bod , Microsoft Defender pro identitua Microsoft Defender pro cloudové aplikace.

Defender pro koncový bod

Defender for Endpoint je platforma zabezpečení podnikových koncových bodů od Microsoftu, která pomáhá analytikům zabezpečení podnikové sítě předcházet pokročilým hrozbám, zjišťovat je, zkoumat a reagovat na ně. Defender for Endpoint dokáže rozpoznat útoky pomocí pokročilé analýzy chování a strojového učení. Vaši analytici mohou používat Defender for Endpoint pro analýzu chování útočníků.

Tady je příklad upozornění v Programu Microsoft Defender pro koncový bod pro útok pomocí předávkování lístku.

Vaši analytici taky mohou provádět pokročilé lovecké dotazy, aby mohli překlopit indikátory ohrožení zabezpečení (IOCs) nebo vyhledat známé chování, pokud identifikují skupinu hrozeb.

Tady je příklad toho, jak se pokročilé lovecké dotazy používají k vyhledání známého chování útočníka.

V Defenderu pro koncový bod máte přístup k monitorovací a analytické službě na úrovni odborníků v reálném čase Microsoft Threat Experts pro probíhající podezřelou aktivitu herce. Můžete také spolupracovat s odborníky na vyžádání a získat další přehled o upozorněních a incidentech.

Tady je příklad toho, jak Defender pro koncový bod zobrazuje podrobnou aktivitu ransomwaru.

Defender pro identitu

Pomocí Defenderu pro identitu můžete prozkoumat známé ohrožené účty a najít potenciálně ohrožené účty ve vaší organizaci. Defender for Identity odesílá upozornění na známé škodlivé aktivity, které často používají herci, jako jsou útoky DCSync, pokusy o vzdálené spuštění kódu a útoky pomocí algoritmu hash. Defender for Identity umožňuje určit podezřelou aktivitu a účty a zúžit vyšetřování.

Tady je příklad toho, jak Defender pro identitu posílá upozornění na známé škodlivé aktivity související s útoky ransomwaru.

Defender pro cloudové aplikace

Defender for Cloud Apps (dříve označovaný jako Microsoft Defender for Cloud Apps) umožňuje vašim analytikům rozpoznat neobvyklé chování v cloudových aplikacích a identifikovat ransomwar, ohrožené uživatele nebo nepoctiví aplikace. Defender for Cloud Apps je cloudové řešení CASB (Cloud Access Security Broker), které uživatelům umožňuje monitorovat cloudové služby a přístup k datům v cloudových službách.

Tady je příklad řídicího panelu Defender for Cloud Apps, který umožňuje analýze zjistit neobvyklé chování v cloudových aplikacích.

Microsoft Secure Score

Sada služeb Microsoft 365 Defender poskytuje živá doporučení k nápravě, která zmenšují povrch útoku. Microsoft Secure Score je měřením stavu zabezpečení organizace s vyšším číslem označujícím, že byly provedeny další akce vylepšení. Další informace o tom, jak může vaše organizace tuto funkci využít k určení priority nápravných akcí založených na jejich prostředí, najdete v dokumentaci k zabezpečenému skóre.

Přístup DART k provádění vyšetřování incidentů ransomwaru

Měli byste vynaložit veškeré úsilí na to, abyste zjistili, jak získali adversary přístup k vašim prostředkům, aby bylo možné chyby opravit. V opačném případě je velmi pravděpodobné, že stejný typ útoku se bude v budoucnu opakovat. V některých případech aktér hrozeb podniká kroky, aby zakryl stopy a zničil důkazy, takže je možné, že celý řetězec událostí nemusí být zřejmý.

Při vyšetřování ransomwaru DART jsou tři klíčové kroky:

Krok 1. Posouzení aktuální situace

Posouzení aktuální situace je zásadní pro pochopení rozsahu incidentu a pro určení nejlepších lidí, kteří budou pomáhat a plánovat a plánovat úkoly vyšetřování a nápravy. Při určování situace je zásadní poklást následující počáteční otázky.

Co vás na začátku o útoku ransomwarem uvědomuje?

Pokud zaměstnanci IT identifikovali počáteční hrozbu , jako je třeba oznámení o odstranění záloh, upozornění na antivirovou ochranu, upozornění na detekce a reakce u koncových bodů (EDR) nebo podezřelé změny systému, často je možné přijmout rychlá rozhodná opatření, která útok zmaří, obvykle zakázáním veškeré příchozí a odchozí internetové komunikace. To může dočasně ovlivnit obchodní operace, ale obvykle by to bylo mnohem méně vlivné než nasazování ransomwaru.

Pokud byla hrozba zjištěna voláním uživatele na it helpdesk, může být dost upozornění předem, aby bylo možné přijmout obranná opatření, aby se zabránilo nebo minimalizovalo důsledky útoku. Pokud byla hrozba identifikována externím subjektem (například vymáháním práva nebo finanční institucí), je pravděpodobné, že škoda už byla způsobena, a ve vašem prostředí uvidíte důkazy o tom, že tento účastník hrozby už získal administrativní kontrolu nad vaší sítí. Může to být v rozsahu od poznámek k ransomwaru, uzamčených obrazovek nebo požadavků na výkupné.

Jaké datum a čas jste se o incidentu poprvé dozvěděli?

Určení počátečního data a času aktivity je důležité, protože pomáhá zúžit rozsah počátečního triáže pro rychlé výhry útočníka. Mezi další otázky patří:

• Jaké aktualizace k datu chyběly? To je důležité, abyste pochopili, jaké chyby mohou být zneužiny adversary.
• Jaké účty byly k datu použity?
• Jaké nové účty byly od tohoto data vytvořeny?

Jaké protokoly jsou dostupné a existují nějaké známky toho, že herec aktuálně přistupuje k systémům?

Protokoly , jako je antivirová ochrana, EDR a virtuální privátní síť (VPN), jsou indikátorem podezření na ohrožení zabezpečení. Mezi další otázky patří:

• Agregují se protokoly v řešení SIEM (Security Information and Event Management), například Microsoft Sentinel,Splunk, ArcSight a další, a aktuální? Jaká je doba uchovávání těchto dat?
• Existují nějaké podezřelé ohrožené systémy, které zažívají neobvyklou aktivitu?
• Existují nějaké podezřelé ohrožené účty, které se zdá být aktivně používány adversary?
• Existují nějaké důkazy o aktivních příkazech a ovládacích prvcích (C2) v EDR, bráně firewall, VPN, webovém proxy serveru a dalších protokolech?

Při posuzování aktuální situace možná budete potřebovat řadič domény služba Active Directory Domain Services (služba AD DS), který nebyl ohrožený, nedávnou zálohu řadiče domény nebo nedávný řadič domény, který je offline kvůli údržbě nebo upgradům. Také určete, jestli bylo vícefaktorové ověřování (MFA) povinné pro všechny uživatele ve společnosti a jestli Azure Active Directory (Azure AD).

Krok 2. Určení aplikací LOB, které nejsou kvůli incidentu dostupné

Tento krok je zásadní pro nejrychlejší způsob, jak získat systémy znovu online a získat potřebné důkazy.

Vyžaduje aplikace identitu?

• Jak se ověřování provádí?
• Jak se ukládají a spravují přihlašovací údaje, jako jsou certifikáty nebo tajné klíče?

Jsou k dispozici otestované zálohy aplikace, konfigurace a dat?

Je obsah a integrita záloh pravidelně ověřována pomocí cvičení obnovení? To je důležité hlavně po změnách správy konfigurace nebo upgradech verzí.

Krok 3. Určení procesu obnovení ohrožení zabezpečení

Tento krok může být nutný, pokud jste zjistili, že byla ohrožena řídicí služba AD DS, která je obvykle služba AD DS.

Vaše vyšetřování by mělo mít vždy za cíl poskytovat výstupy, které se přímo vysílují do procesu CR. Cr je proces, který odstraňuje řízení útočníka z prostředí a takticky zvyšuje pozici zabezpečení během nastaveného období. Cr došlo k porušení zabezpečení po zabezpečení. Další informace o CR najdete v článku crsp týmu Microsoft Compromise Recovery Security Practice: The emergency team fighting cyber attacks beside customers blog article.

Jakmile shromáždíte odpovědi na výše uvedené otázky, můžete vytvořit seznam úkolů a přiřadit vlastníky. Klíčovým faktorem úspěšného zapojení odpovědí na incidenty je podrobná podrobná dokumentace jednotlivých pracovních položek (například vlastníka, stav, zjištění, datum a čas), takže sestavování výsledků na konci angažovanosti je přímočarý proces.

Doporučení a doporučené postupy dartu

Tady jsou doporučení a doporučené postupy dartu pro aktivity související s omezením a po incidentu.

Zadržování

K zadržování může dojít jenom v případě, že analýza určí, co je potřeba obsahovat. V případě ransomwaru je cílem tohoto klienta získat přihlašovací údaje, které umožňují správu nad vysoce dostupným serverem a nasadit ransomwar. V některých případech herec hrozeb identifikuje citlivá data a exfiltruje je do umístění, které řídí.

Taktické obnovení bude jedinečné pro prostředí, odvětví a úroveň IT zkušeností a prostředí vaší organizace. Níže uvedené kroky se doporučují pro krátkodobé a taktické kroky pro zadržování, které vaše organizace může provést. Další informace o dlouhodobých pokynech najdete v tématu Zabezpečení privilegovaného přístupu. Úplný přehled o ransomwaru a vydírání a o tom, jak připravit a chránit vaši organizaci, najdete v článku Ransomwarprovozovaný lidmi.

Při objevení nových vektorů hrozeb je možné provést souběžně tyto kroky:

• Krok 1: Posouzení rozsahu situace

  • Které uživatelské účty byly ohroženy?

  • Která zařízení jsou ovlivněná?

  • Které aplikace jsou ovlivněné?

• Krok 2: Zachování existujících systémů

  • Zakažte všechny privilegované uživatelské účty s výjimkou malého počtu účtů, které vaši správci používají k obnovení integrity vaší služba AD DS infrastruktury. Pokud se má za to, že je uživatelský účet ohrožený, okamžitě ho zakažte.

  • Izolovat ohrožené systémy od sítě, ale nevypnou je.

  • Izolovat aspoň jeden známý správný řadič domény v každé doméně – dva jsou ještě lepší. Buď je odpojte od sítě, nebo je úplně vypněte. Objektem je zastavit šíření ransomwaru na kritické systémy – identita patří mezi nejzranitelnější. Pokud jsou všechny vaše řadiče domény virtuální, zajistěte, aby byly systémové a datové jednotky virtualizační platformy zálohované na offline externí média, která nejsou připojená k síti, v případě ohrožení samotné virtualizační platformy.

  • Izolovat důležité známé vhodné aplikační servery, například SAP, databáze pro správu konfigurace (CMDB), fakturační a účetní systémy.

Tyto dva kroky můžete provést souběžně, když se objeví nové vektory hrozeb. Zakažte tyto vektory hrozeb a zkuste najít známý dobrý systém, který se má izolovat od sítě.

K dalším taktickým akcím při zadržování může zahrnovat:

• Resetujte heslo krbtgtdvakrát rychle po sledu. Zvažte použití skriptované opakovatelného procesu. Tento skript umožňuje resetovat heslo účtu krbtgt a související klíče a zároveň minimalizovat pravděpodobnost, že operace způsobuje problémy s ověřováním protokolem Kerberos. Pokud chcete minimalizovat potenciální problémy, může se životnost krbtgt před prvním resetováním hesla snížit jednou nebo víckrát, aby se obě resetování provedly rychle. Všechny řadiče domény, které chcete zachovat ve vašem prostředí, musí být online.

• Nasaďte Zásady skupiny domény, které zabraňují privilegovanému přihlášení (Domain Admins) na nic jiného než na řadiče domény a privilegované pracovní stanice jen pro správu (pokud jsou k dispozici).

• Nainstalujte všechny chybějící aktualizace zabezpečení pro operační systémy a aplikace. Každá chybějící aktualizace je potenciální vektor hrozeb, který mohou adversaries rychle identifikovat a zneužít. Microsoft Defender for Endpoint's Threat and Vulnerability Management nabízí snadný způsob, jak přesně vidět, co chybí – a potenciální dopad chybějících aktualizací.

  • U Windows 10 (nebo vyšších) zkontrolujte, že na každém zařízení běží aktuální verze (nebo n-1).

  • Abyste zabránili malwarové nákaze, použijte pravidla pro snížení povrchu útoku (ASR).

  • Povolte všechny Windows 10 zabezpečení.

• Zkontrolujte, že každá externí aplikace, včetně přístupu přes VPN, je chráněná vícefaktorové ověřování, nejlépe pomocí ověřovací aplikace, která běží na zabezpečeném zařízení.

• U zařízení, která jako primární antivirový software používají Defender for Endpoint, spusťte úplnou kontrolu s Microsoft Bezpečnostní skener na izolovaných známých dobrých systémech a pak je znovu připojte k síti.

• U všech starších operačních systémů upgradujte na podporovaný operační systém nebo vyřazení těchto zařízení z provozu. Pokud tyto možnosti nejsou k dispozici, používejte všechna možná opatření k izolaci těchto zařízení, včetně izolace sítě/sítě VLAN, pravidel protokolu protokol IPSec (IPsec) a omezení přihlášení, aby byla uživatelům/zařízením přístupná jenom pro aplikace, aby poskytovala nepřetržitou práci.

Nejrizivější konfigurace se skládají ze spouštění důležitých systémů ve starších operačních systémech, systém Windows NT 4.0 a aplikacích, a to vše na starším hardwaru. Nejenže jsou tyto operační systémy a aplikace nezabezpečené a zranitelné, pokud tento hardware selže, zálohy se obvykle nedaří obnovit u moderního hardwaru. Pokud není k dispozici náhradní starší hardware, přestanou tyto aplikace fungovat. Důrazně zvažte převedení těchto aplikací na aktuální operační systémy a hardware.

Aktivity po incidentu

Dart doporučuje implementaci následujících doporučení zabezpečení a osvědčených postupů po každém incidentu.

• Zajistěte, aby byly pro e-mailová řešení a řešení pro spolupráci osvědčené postupy, které útočníkům ztížily jejich zneužití, a zároveň umožnit interním uživatelům snadný a bezpečný přístup k externímu obsahu.

• Postupujte podle doporučených postupů zabezpečení Nulové důvěryhodnosti pro řešení vzdáleného přístupu k interním prostředkům organizace.

• Počínaje správci s kritickým dopadem dodržujte osvědčené postupy pro zabezpečení účtu, včetně použití ověřování bez hesla nebo MFA.

• Implementujte komplexní strategii, která sníží riziko ohrožení privilegovaného přístupu.

  • Pro přístup pro správu cloudu a doménové struktury/domény použijte model privilegovaného přístupu microsoftu (PAM).

  • Pro správu koncových bodů použijte řešení místních hesel pro správu (LAPS).

• Implementujte ochranu dat, která blokuje techniky ransomwaru a potvrzuje rychlé a spolehlivé obnovení z útoku.

• Zkontrolujte důležité systémy. Zkontrolujte ochranu a zálohy proti záměrným vymazáním nebo šifrováním útočníka. Je důležité, abyste tyto zálohy pravidelně testovat a ověřovat.

• Zajistěte rychlou detekci a nápravu běžných útoků na koncový bod, e-mail a identitu.

• Aktivně objevujte a průběžně vylepšujte bezpečnostní pozici vašeho prostředí.

• Aktualizujte organizační procesy, abyste mohli spravovat hlavní události ransomwaru a zjednodušit externí zajištění, abyste se vyhnuli tření.

PAM

Použití funkce PAM (dříve označované jako model vrstvené správy) zlepšuje pozici zabezpečení Azure AD. To zahrnuje:

• Prolomení účtů pro správu v "plánované" prostředí – jeden účet pro každou úroveň, obvykle čtyři:

• Řídicí rovina (dřív úroveň 0): Správa řadičů domény a dalších zásadních služeb identity, jako je služba AD FS (Active Directory Federation Services) nebo Azure AD Připojení. Patří sem taky serverové aplikace, které vyžadují oprávnění správce služba AD DS, například Exchange Server.

• Další dvě letadla byla dřív 1. úroveň:

  • Řídicí rovina: Správa, monitorování a zabezpečení majetku.

  • Data/Workload Plane: Aplikace a aplikační servery.

• Další dvě letadla byla dřív 2. úroveň:

  • Přístup uživatelů: Přístupová práva pro uživatele (například účty).

  • Přístup k aplikacím: Přístupová práva k aplikacím.

• Každá z těchto letadel bude mít samostatnou administrativní pracovní stanici pro každé letadlo a bude mít přístup jenom k systémům v této rovině. Jiným účtům z jiných letadel bude odepřen přístup k pracovním stanicm a serverům v ostatních letadlech prostřednictvím přiřazení uživatelských práv nastavených na tyto počítače.

Čistý výsledek PAM je, že:

• Ohrožený uživatelský účet bude mít přístup jenom k rovině, do které patří.

• Citlivější uživatelské účty se nebudou přihlašovat k pracovním stanicm a serverům s nižší úrovní zabezpečení, čímž se sníží boční pohyb.

LAPS

Ve výchozím nastavení microsoftové Windows a služba AD DS nemají centralizovanou správu místních účtů pro správu na pracovních stanicch a členských serverech. Výsledkem je obvykle běžné heslo, které je dané pro všechny tyto místní účty, nebo přinejmenším ve skupinách počítačů. To umožňuje útočníkům ohrozit jeden účet místního správce a pak pomocí tohoto účtu získat přístup k jiným pracovním stanicm nebo serverům v organizaci.

Microsoft LAPS to zmírňuje pomocí rozšíření na straně klienta Zásady skupiny, které v pravidelných intervalech mění heslo místní správy na pracovních stanicch a serverech podle sady zásad. Každé z těchto hesel se liší a uloží se jako atribut v objektu služba AD DS počítači. Tento atribut se může načíst z jednoduché klientské aplikace v závislosti na oprávněních přiřazených k tomuto atributu.

Služba LAPS vyžaduje rozšíření schématu služba AD DS, aby bylo možné nainstalovat další atribut, šablony laps Zásady skupiny a malé rozšíření na straně klienta, které bude nainstalováno na všech pracovních a členských serverech, aby bylo možné poskytovat funkce na straně klienta.

Službu LAPS můžete získat z webu Microsoft Download Center.

Playbooks pro odpovědi na incidenty

Podívejte se na pokyny k identifikaci a zkoumání těchto typů útoků:

• Phishing
• Rozprašování heslem
• Udělení souhlasu s aplikací

Zdroje odpovědí na incidenty

• Přehled produktů a zdrojů zabezpečení Microsoftu pro nové role a zkušené analytiky
• Plánování centra pro operace zabezpečení (SOC)
• Proces pro doporučení a doporučené postupy pro proces reakce na incidenty
• Microsoft 365 Defender incidentu
• Odpověď na incident Microsoft Sentinel