Método y procedimientos recomendados para ransomware DART de Microsoft

  • Artículo
  • Tiempo de lectura: 17 minutos

El ransomware operado por humanos no es un problema de software malintencionado, es un problema criminal humano. Las soluciones usadas para solucionar problemas de productos básicos no son suficientes para evitar una amenaza que se parezca más a un actor de amenazas de estado-nación que:

  • Deshabilita o desinstala el software antivirus antes de cifrar archivos
  • Deshabilita los servicios de seguridad y el registro para evitar la detección
  • Localiza y daña o elimina copias de seguridad antes de enviar una petición de rescate

Estas acciones se realizan normalmente con programas legítimos que puede que ya tenga en su entorno con fines administrativos. En manos criminales, estas herramientas se usan malintencionadamente para llevar a cabo ataques.

Responder a la creciente amenaza de ransomware requiere una combinación de configuración empresarial moderna, productos de seguridad actualizados y la vigilancia del personal de seguridad capacitado para detectar y responder a las amenazas antes de que se pierdan los datos.

El equipo de detección y respuesta de Microsoft (DART) responde a los compromisos de seguridad para ayudar a los clientes a ser ciber resilientes. DARDO proporciona respuesta a incidentes reactivas en el sitio e investigaciones proactivas remotas. DART aprovecha las asociaciones estratégicas de Microsoft con organizaciones de seguridad de todo el mundo y grupos de productos internos de Microsoft para proporcionar la investigación más completa y exhaustiva posible.

En este artículo se describe cómo DART administra los ataques de ransomware para los clientes de Microsoft para que pueda considerar la posibilidad de aplicar elementos de su enfoque y procedimientos recomendados para su propio libro de juegos de operaciones de seguridad.

Vea estas secciones para obtener más información:

Nota

El contenido de este artículo se derivó de la guía A para la lucha contra ransomware operado por humanos: Parte 1 y Una guía para la lucha contra ransomware operado por humanos: Entradas de blog del equipo de seguridad de Microsoft parte 2.

Cómo UTILIZA DARDO los servicios de seguridad de Microsoft

DART depende en gran medida de los datos de todas las investigaciones y usa implementaciones existentes de los servicios de seguridad de Microsoft, como Microsoft Defender para Office 365,Microsoft Defender paraendpoint, Microsoft Defender para identidadesy Microsoft Defenderpara aplicaciones en la nube.

Defender para el punto de conexión

Defender for Endpoint es la plataforma de seguridad de punto de conexión empresarial de Microsoft diseñada para ayudar a los analistas de seguridad de red empresarial a prevenir, detectar, investigar y responder a amenazas avanzadas. Defender para endpoint puede detectar ataques mediante análisis conductual avanzado y aprendizaje automático. Los analistas pueden usar Defender para endpoint para análisis de comportamiento de los atacantes.

A continuación se muestra un ejemplo de una alerta en Microsoft Defender para punto de conexión para un ataque de pase de la entrada.

Ejemplo de una alerta en Microsoft Defender para el punto de conexión para un ataque de pase al ticket

Los analistas también pueden realizar consultas de caza avanzadas para desactivar indicadores de peligro (IOC) o buscar comportamientos conocidos si identifican un grupo de actores de amenazas.

Este es un ejemplo de cómo se pueden usar consultas de caza avanzadas para localizar el comportamiento conocido de los atacantes.

Un ejemplo de una consulta de caza avanzada.

En Defender para punto de conexión, tiene acceso a un servicio de supervisión y análisis de nivel de experto en tiempo real por Expertos en amenazas de Microsoft para la actividad de actores sospechosos en curso. También puede colaborar con expertos a petición para obtener información adicional sobre alertas e incidentes.

Este es un ejemplo de cómo Defender para endpoint muestra la actividad ransomware detallada.

Ejemplo de cómo Defender para el punto de conexión muestra la actividad ransomware detallada.

Defender para la identidad

Use Defender for Identity para investigar cuentas en peligro conocidas y para encontrar cuentas potencialmente en peligro en su organización. Defender for Identity envía alertas de actividades malintencionadas conocidas que los actores suelen usar, como ataques dcsync, intentos de ejecución de código remoto y ataques de paso del hash. Defender for Identity le permite identificar la actividad sospechosa y las cuentas para restringir la investigación.

Este es un ejemplo de cómo Defender para la Identidad envía alertas de actividades malintencionadas conocidas relacionadas con ataques de ransomware.

Un ejemplo de cómo Defender para la Identidad envía alertas para ataques de ransomware

Defender para aplicaciones en la nube

Defender para aplicaciones en la nube (anteriormente conocido como Microsoft Defender para aplicaciones en la nube) permite a los analistas detectar comportamientos inusuales en todas las aplicaciones de la nube para identificar ransomware, usuarios en peligro o aplicaciones fraudulentas. Defender para aplicaciones en la nube es la solución de agente de seguridad de acceso a la nube (CASB) de Microsoft que permite supervisar los servicios en la nube y el acceso de los usuarios a los datos en servicios en la nube.

Este es un ejemplo del panel Defender para aplicaciones en la nube, que permite que el análisis detecte comportamientos inusuales en todas las aplicaciones de la nube.

un ejemplo del panel defender para aplicaciones en la nube.

Puntuación segura de Microsoft

El conjunto de Microsoft 365 Defender ofrece recomendaciones de corrección en directo para reducir la superficie de ataque. Puntuación segura de Microsoft es una medida de la posición de seguridad de una organización, con un número más alto que indica que se han realizado más acciones de mejora. Consulte la documentación puntuación segura para obtener más información sobre cómo su organización puede aprovechar esta característica para priorizar las acciones de corrección que se basan en su entorno.

El enfoque de DARDO para llevar a cabo investigaciones de incidentes de ransomware

Debe realizar todos los esfuerzos para determinar cómo el adversario obtuvo acceso a sus activos para que las vulnerabilidades se puedan corregir. De lo contrario, es muy probable que el mismo tipo de ataque vuelva a tener lugar en el futuro. En algunos casos, el actor de amenazas toma medidas para cubrir sus pistas y destruir evidencia, por lo que es posible que toda la cadena de eventos no sea evidente.

A continuación se indican tres pasos clave en las investigaciones de ransomware DART:

Paso Objetivo Preguntas iniciales
1. Evaluar la situación actual Comprender el ámbito ¿Qué le hizo al principio consciente de un ataque de ransomware?

¿Qué hora/fecha se enteró por primera vez del incidente?

¿Qué registros están disponibles y hay alguna indicación de que el actor está accediendo actualmente a sistemas?
2. Identificar las aplicaciones de línea de negocio (LOB) afectadas Volver a tener sistemas en línea ¿La aplicación requiere una identidad?

¿Están disponibles las copias de seguridad de la aplicación, la configuración y los datos?

¿Se comprueba periódicamente el contenido y la integridad de las copias de seguridad con un ejercicio de restauración?
3. Determinar el proceso de recuperación de compromiso (CR) Quitar el control del atacante del entorno N/A

Paso 1. Evaluar la situación actual

Una evaluación de la situación actual es fundamental para comprender el alcance del incidente y para determinar las mejores personas para ayudar y planear y establecer el ámbito de las tareas de investigación y corrección. Hacer las siguientes preguntas iniciales es crucial para ayudar a determinar la situación.

¿Qué le hizo al principio consciente del ataque de ransomware?

Si el personal de IT identificó la amenaza inicial (por ejemplo, al ver que se eliminan las copias de seguridad, las alertas antivirus, las alertas de detección y respuesta de puntos de conexión (EDR) o los cambios sospechosos del sistema, a menudo es posible tomar medidas decisivas rápidas para frustrar el ataque, normalmente deshabilitando todas las comunicaciones entrantes y salientes por Internet. Esto puede afectar temporalmente a las operaciones empresariales, pero esto suele ser mucho menos impactante que un adversario que implementa ransomware.

Si la amenaza se identificó mediante una llamada de usuario al departamento de soporte técnico de TI, es posible que haya suficiente advertencia anticipada para tomar medidas de defensa para evitar o minimizar los efectos del ataque. Si la amenaza fue identificada por una entidad externa (como la aplicación de la ley o una institución financiera), es probable que el daño ya esté hecho y verá evidencia en su entorno de que el actor de la amenaza ya ha adquirido el control administrativo de su red. Esto puede variar desde notas de ransomware, pantallas bloqueadas o demandas de rescate.

¿Qué fecha y hora se enteró por primera vez del incidente?

Establecer la fecha y hora de la actividad iniciales es importante porque ayuda a restringir el ámbito del triaje inicial para las victorias rápidas del atacante. Las preguntas adicionales pueden incluir:

  • ¿Qué actualizaciones faltaban en esa fecha? Esto es importante para comprender qué vulnerabilidades pueden haber sido explotadas por el adversario.
  • ¿Qué cuentas se usaron en esa fecha?
  • ¿Qué cuentas nuevas se han creado desde esa fecha?

¿Qué registros están disponibles y hay alguna indicación de que el actor está accediendo actualmente a los sistemas?

Los registros(como antivirus, EDR y red privada virtual (VPN)) son un indicador de posibles compromisos. Las preguntas de seguimiento pueden incluir:

  • ¿Se agregan registros en una solución de administración de eventos y información de seguridad (SIEM), como Microsoft Sentinel,Splunk, ArcSight y otros, y actual? ¿Cuál es el período de retención de estos datos?
  • ¿Hay algún sistema sospechoso en peligro que esté experimentando una actividad inusual?
  • ¿Existen cuentas sospechosas en peligro que parezcan ser usadas activamente por el adversario?
  • ¿Hay alguna evidencia de comandos y controles activos (C2) en EDR, firewall, VPN, proxy web y otros registros?

Como parte de la evaluación de la situación actual, es posible que necesite un controlador de dominio de Servicios de dominio de Active Directory (AD DS) que no esté en peligro, una copia de seguridad reciente de un controlador de dominio o un controlador de dominio reciente desconectado para mantenimiento o actualizaciones. Determine también si la autenticación multifactor (MFA) era necesaria para todos los usuarios de la empresa y si Azure Active Directory (Azure AD) se usó.

Paso 2. Identificar las aplicaciones de LOB que no están disponibles debido al incidente

Este paso es fundamental para averiguar la forma más rápida de volver a estar en línea con los sistemas mientras se obtienen las pruebas necesarias.

¿La aplicación requiere una identidad?

  • ¿Cómo se realiza la autenticación?
  • ¿Cómo se almacenan y administran las credenciales como certificados o secretos?

¿Están disponibles las copias de seguridad probadas de la aplicación, la configuración y los datos?

¿Se comprueba periódicamente el contenido y la integridad de las copias de seguridad con un ejercicio de restauración? Esto es especialmente importante después de los cambios de administración de configuración o las actualizaciones de versión.

Paso 3. Determinar el proceso de recuperación de peligro

Este paso puede ser necesario si ha determinado que el plano de control, que suele ser AD DS, se ha visto en peligro.

La investigación siempre debe tener el objetivo de proporcionar resultados que se alimentan directamente en el proceso cr. CR es el proceso que quita el control del atacante de un entorno y aumenta tácticamente la posición de seguridad dentro de un período establecido. CR tiene lugar después de una infracción de seguridad. Para obtener más información sobre CR, lea el artículo de blog de la Práctica de seguridad de recuperación de peligro de Microsoft: el equipo de emergencia que lucha contra ciberataques junto a los clientes.

Una vez que haya recopilado las respuestas a las preguntas anteriores, puede crear una lista de tareas y asignar propietarios. Un factor clave en una respuesta a incidentes satisfactoria es la documentación detallada y exhaustiva de cada elemento de trabajo (como el propietario, el estado, los resultados, la fecha y la hora), lo que hace que la compilación de los resultados al final de la participación sea un proceso sencillo.

Recomendaciones y procedimientos recomendados de DART

Estas son las recomendaciones y procedimientos recomendados de DART para actividades de contención y posterior a incidentes.

Contención

La contención solo puede ocurrir una vez que el análisis haya determinado lo que debe contenerse. En el caso del ransomware, el objetivo del adversario es obtener credenciales que permitan el control administrativo sobre un servidor altamente disponible y, después, implementar el ransomware. En algunos casos, el actor de amenazas identifica datos confidenciales y los filtra a una ubicación que controlan.

La recuperación táctica será única para el entorno, el sector y el nivel de experiencia y experiencia de TI de su organización. Los pasos que se describen a continuación se recomiendan para los pasos de contención tácticos y a corto plazo que puede realizar su organización. Para obtener más información sobre las instrucciones a largo plazo, vea Proteger el acceso con privilegios. Para obtener una vista completa de ransomware y extorsión y cómo preparar y proteger su organización, vea Ransomware operado por humanos.

Estos pasos de contención se pueden realizar simultáneamente a medida que se detectan nuevos vectores de amenazas:

  • Paso 1: Evaluar el ámbito de la situación

    • ¿Qué cuentas de usuario estaban en peligro?

    • ¿Qué dispositivos se ven afectados?

    • ¿Qué aplicaciones se ven afectadas?

  • Paso 2: Conservar sistemas existentes

    • Deshabilite todas las cuentas de usuario con privilegios excepto un pequeño número de cuentas usadas por los administradores para ayudar a restablecer la integridad de la infraestructura de AD DS. Si se cree que una cuenta de usuario está en peligro, deshabilite la cuenta inmediatamente.

    • Aísle sistemas en peligro de la red, pero no los cierre.

    • Aísle al menos un controlador de dominio bueno conocido en cada dominio: dos es incluso mejor. Desconéctelos de la red o cállenlos por completo. El objeto aquí es detener la propagación del ransomware a los sistemas críticos: la identidad es una de las más vulnerables. Si todos los controladores de dominio son virtuales, asegúrese de que el sistema y las unidades de datos de la plataforma de virtualización se copian en medios externos sin conexión que no están conectados a la red, en caso de que la plataforma de virtualización en sí esté en peligro.

    • Aísle servidores de aplicaciones conocidos críticos, como SAP, base de datos de administración de configuración (CMDB), facturación y sistemas de contabilidad.

Estos dos pasos se pueden realizar simultáneamente a medida que se detectan nuevos vectores de amenazas. Deshabilite esos vectores de amenazas y, a continuación, intente encontrar un sistema bueno conocido para aislar de la red.

Otras acciones de contención táctico pueden incluir:

  • Restablezca la contraseña krbtgtdos veces seguidas. Considere la posibilidad de usar un proceso con script y repetible. Este script le permite restablecer la contraseña de la cuenta krbtgt y las claves relacionadas mientras minimiza la probabilidad de que la operación produzca problemas de autenticación Kerberos. Para minimizar posibles problemas, la duración de krbtgt se puede reducir una o más veces antes del primer restablecimiento de contraseña para que los dos restablecimientos se realizan rápidamente. Tenga en cuenta que todos los controladores de dominio que tiene previsto conservar en su entorno deben estar en línea.

  • Implemente una directiva de grupo en todos los dominios que impiden el inicio de sesión con privilegios (administradores de dominios) en cualquier cosa, menos controladores de dominio y estaciones de trabajo de solo administración privilegiadas (si las hay).

  • Instale todas las actualizaciones de seguridad que faltan para sistemas operativos y aplicaciones. Cada actualización que falta es un vector de amenazas potencial que los adversarios pueden identificar y explotar rápidamente. La administración de amenazas y vulnerabilidades de Microsoft Defender para endpoints ofrece una forma sencilla de ver exactamente lo que falta, así como el posible impacto de las actualizaciones que faltan.

    • Para Windows 10 (o superior), confirme que la versión actual (o n-1) se está ejecutando en todos los dispositivos.

    • Aplicar reglas de reducción de superficie de ataque (ASR) para evitar la infección por malware.

    • Habilite todas las Windows 10 de seguridad.

  • Compruebe que todas las aplicaciones externas, incluido el acceso VPN, están protegidas por autenticación multifactor, preferiblemente con una aplicación de autenticación que se ejecuta en un dispositivo protegido.

  • Para dispositivos que no usan Defender para Endpoint como su software antivirus principal, ejecute un examen completo con Examen de seguridad de Microsoft en sistemas conocidos aislados antes de volver a conectarlos a la red.

  • Para cualquier sistema operativo heredado, actualice a un sistema operativo compatible o desmantela estos dispositivos. Si estas opciones no están disponibles, tome todas las medidas posibles para aislar estos dispositivos, incluido el aislamiento de red/VLAN, las reglas de seguridad de protocolo de Internet (IPsec) y las restricciones de inicio de sesión, de modo que solo los usuarios o dispositivos puedan acceder a las aplicaciones para proporcionar continuidad empresarial.

Las configuraciones más arriesgadas consisten en ejecutar sistemas de misión crítica en sistemas operativos heredados tan antiguos como Windows NT 4.0 y aplicaciones, todo en hardware heredado. Estos sistemas operativos y aplicaciones no solo son inseguros y vulnerables, si ese hardware falla, las copias de seguridad normalmente no se pueden restaurar en hardware moderno. A menos que el hardware heredado de reemplazo esté disponible, estas aplicaciones dejarán de funcionar. Considere la posibilidad de convertir estas aplicaciones para que se ejecuten en sistemas operativos y hardware actuales.

Actividades posteriores al incidente

DARDO recomienda implementar las siguientes recomendaciones de seguridad y procedimientos recomendados después de cada incidente.

  • Asegúrese de que existen procedimientos recomendados para las soluciones de colaboración y correo electrónico para que sea más difícil que los atacantes abusen de ellos, al tiempo que permite que los usuarios internos accedan al contenido externo de forma fácil y segura.

  • Siga los procedimientos recomendados de seguridad de confianza cero para soluciones de acceso remoto a recursos organizativos internos.

  • A partir de administradores de impacto crítico, siga los procedimientos recomendados para la seguridad de la cuenta, incluido el uso de autenticación sin contraseña o MFA.

  • Implementar una estrategia completa para reducir el riesgo de un riesgo de acceso privilegiado.

  • Implemente la protección de datos para bloquear técnicas de ransomware y para confirmar una recuperación rápida y confiable de un ataque.

  • Revise los sistemas críticos. Compruebe si hay protección y copias de seguridad contra la eliminación o el cifrado intencionado de los atacantes. Es importante que pruebe y valide periódicamente estas copias de seguridad.

  • Asegúrese de que se detectan y corrigen rápidamente los ataques comunes en el punto de conexión, el correo electrónico y la identidad.

  • Descubra activamente y mejore continuamente la posición de seguridad de su entorno.

  • Actualice los procesos organizativos para administrar los eventos ransomware principales y simplifite la externalización para evitar fricciones.

PAM

El uso del PAM (anteriormente conocido como el modelo de administración en niveles) mejora Azure AD la posición de seguridad de los usuarios. Esto implica:

  • Dividir las cuentas administrativas en un entorno "planeado": una cuenta para cada nivel, normalmente cuatro:

  • Avión de control (anteriormente nivel 0): Administración de controladores de dominio y otros servicios de identidad cruciales, como servicios de federación de Active Directory (ADFS) o Azure AD Conectar. Esto también incluye aplicaciones de servidor que requieren permisos administrativos para AD DS, como Exchange Server.

  • Los dos siguientes aviones antes eran de nivel 1:

    • Plano de administración: Administración de activos, supervisión y seguridad.

    • Plano de carga de trabajo/datos: aplicaciones y servidores de aplicaciones.

  • Los dos siguientes aviones antes eran de nivel 2:

    • Acceso de usuario: Derechos de acceso para usuarios (como cuentas).

    • Acceso a aplicaciones: Derechos de acceso para aplicaciones.

  • Cada uno de estos aviones tendrá una estación de trabajo administrativa independiente para cada avión y solo tendrá acceso a los sistemas de ese avión. Se denegará el acceso a otras cuentas de otros aviones a estaciones de trabajo y servidores de los otros aviones mediante asignaciones de derechos de usuario establecidas en esos equipos.

El resultado neto del PAM es el siguiente:

  • Una cuenta de usuario en peligro solo tendrá acceso al avión al que pertenece.

  • Las cuentas de usuario más confidenciales no iniciarán sesión en estaciones de trabajo y servidores con un nivel de seguridad inferior, lo que reduce el movimiento lateral.

LAPS

De forma predeterminada, Microsoft Windows y AD DS no tienen ninguna administración centralizada de cuentas administrativas locales en estaciones de trabajo y servidores miembros. Esto suele dar como resultado una contraseña común que se da para todas estas cuentas locales, o como mínimo en grupos de equipos. Esto permite a los posibles atacantes poner en peligro una cuenta de administrador local y, después, usar esa cuenta para obtener acceso a otras estaciones de trabajo o servidores de la organización.

LAPS de Microsoft mitiga esto mediante una extensión de cliente de directiva de grupo que cambia la contraseña administrativa local a intervalos regulares en estaciones de trabajo y servidores según el conjunto de directivas. Cada una de estas contraseñas es diferente y se almacena como un atributo en el objeto de equipo de AD DS. Este atributo se puede recuperar desde una aplicación cliente sencilla, dependiendo de los permisos asignados a ese atributo.

LAPS requiere que se exceda el esquema de AD DS para permitir que se instalen el atributo adicional, las plantillas de directiva de grupo LAPS y una pequeña extensión del lado cliente en cada estación de trabajo y servidor miembro para proporcionar la funcionalidad del cliente.

Puede obtener LAPS desde el Centro de descarga de Microsoft.

Libros de reproducción de respuesta a incidentes

Examine las instrucciones para identificar e investigar estos tipos de ataques:

Recursos de respuesta a incidentes