Kiristysohjelmahyökkäyksiin vastaaminen

Huomautus

Haluatko kokea Microsoft Defender XDR:n? Lue lisätietoja siitä, miten voit arvioida Microsoft Defender XDR:n ja osallistua sen pilottikokeiluun.

Kun epäilet olevasi tai olet tällä hetkellä kiristyshaittaohjelmahyökkäyksen alla, muodosta turvallinen viestintä tapausten käsittelytiimisi kanssa välittömästi. Ne voivat suorittaa seuraavat reagointivaiheet hyökkäyksen häiritsemiseksi ja vahingon lieventämiseksi:

• Tutkimus ja eristäminen
• Hävittäminen ja hyödyntäminen

Tämä artikkeli tarjoaa yleisen pelikirjan kiristyshaittaohjelmahyökkäyksiin vastaamiseksi. Harkitse tämän artikkelin ohjeiden ja tehtävien sovittamista omaan suojaustoimintojen pelikirjaasi. HUOMAUTUS: Lisätietoja kiristyshaittaohjelmahyökkäysten estämisestä on kohdassa Kiristyshaittaohjelmien estäminen nopeasti.

Eristäminen

Eristämisen ja tutkinnan tulisi tapahtua mahdollisimman samanaikaisesti. Keskity kuitenkin nopeasti eristämiseen, jotta sinulla on enemmän aikaa tutkia asiaa. Näiden vaiheiden avulla voit määrittää hyökkäyksen laajuuden ja eristää sen vain entiteetteihin, joihin tämä vaikuttaa, kuten käyttäjätileihin ja laitteisiin.

Vaihe 1: Tapahtuman laajuuden arvioiminen

Käy läpi tämä kysymys- ja tehtäväluettelo hyökkäyksen laajuuden selvittämiseksi. Microsoft Defender XDR voivat tarjota yhdistetyn näkymän kaikista vaikutus- tai riskivarallisuudesta tapausten käsittelyn arvioinnissa. Katso Tapausten käsittely ja Microsoft Defender XDR. Voit käyttää tapahtuman ilmoituksia ja todisteluetteloa määritettäessä:

• Mitkä käyttäjätilit saattavat olla vaarantuneet?
  • Mitä tilejä käytettiin tietojen toimittamiseen?
• Mihin käyttöön otettuihin ja löydettyihin laitteisiin tämä vaikuttaa ja miten?
  • Alkuperäiset laitteet
  • Vaikutuksen avatyt laitteet
  • Epäilyttävät laitteet
• Tunnista tapahtumaan liittyvä verkkoyhteys.
• Mihin sovelluksiin tämä vaikuttaa?
• Mitä hyötykuormat olivat hajallaan?
• Miten hyökkääjä kommunikoi vaarantuneilla laitteilla? (Verkon suojaus on otettava käyttöön):
  • Siirry ilmaisinsivuun , jossa voit lisätä lohkon IP- ja URL-osoitteelle (jos sinulla on nämä tiedot).
• Mikä oli hyötykuorman toimitusväline?

Vaihe 2: Olemassa olevien järjestelmien säilyttäminen

Suorita tämä tehtävä- ja kysymysluettelo olemassa olevien järjestelmien suojaamiseksi hyökkäyksiltä:

• Jos sinulla on online-varmuuskopioita, harkitse varmuuskopiojärjestelmän katkaisemista verkosta, kunnes olet varma, että hyökkäys sisältyy, katso Varmuuskopiointi- ja palautussuunnitelma, joka suojaa kiristysohjelmilta | Microsoft Docs.
• Jos koet tai odotat välitöntä ja aktiivista kiristyshaittaohjelmien käyttöönottoa:
  • Keskeytä etuoikeutetut ja paikalliset tilit , joiden epäilet olevan osa hyökkäystä. Voit tehdä tämän tapahtuman ominaisuuksien Käyttäjät-välilehdestä Microsoft Defender-portaalissa.
  • Lopeta kaikki etäkirjautumisistunnot.
  • Palauta vaarantuneet käyttäjätilin salasanat ja edellytä, että vaarantuneiden käyttäjätilien käyttäjät kirjautuvat uudelleen sisään.
  • Toimi samoin käyttäjätileillä, jotka saattavat olla vaarantuneet.
  • Jos jaettuja paikallisia tilejä vaarannetaan, ota yhteyttä IT-järjestelmänvalvojaasi, jotta voit pakottaa salasanan vaihtamisen käyttöön kaikissa näytetyissä laitteissa. Esimerkki Kusto-kyselystä:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• Laitteille, jotka eivät ole vielä eristettyjä ja jotka eivät ole osa kriittistä infrastruktuuria:
  • Eristä vaarantuneet laitteet verkosta, mutta älä sulje niitä.
  • Jos tunnistat alkuperäiset tai spreader-laitteet, eristä ne ensin.
• Säilytä vaarantuneet järjestelmät analysointia varten.

Vaihe 3: Estä leviäminen

Tämän luettelon avulla voit estää hyökkäyksen leviämisen muihin entiteetteihin.

• Jos hyökkäyksessä käytetään jaettuja paikallisia tilejä, harkitse paikallisten tilien etäkäytön estämistä.
  • Kusto-kysely kaikille verkon kirjautumisille, jotka ovat paikallisia järjestelmänvalvojia:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Kusto-kysely muille kuin RDP-kirjautumisille (realistisempi useimmille verkoille):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Aseta karanteeniin ja lisää tartunnan saaneiden tiedostojen ilmaisimet.
• Varmista, että virustentorjuntaratkaisusi on määritettävissä parhaassa suojaustilassaan. Microsoft Defender virustentorjuntaan sisältyvät seuraavat:
  • Reaaliaikainen suojaus on käytössä.
  • Peukaloinnin suojaus on käytössä. Valitse Microsoft Defender portaalissa Asetukset > Päätepisteet Lisäominaisuudet >> Peukaloinnin suojaus.
  • Hyökkäysalueen pienentämissäännöt ovat käytössä.
  • Pilvisuojaus on käytössä.
• Poista Exchange ActiveSync ja OneDrive-synkronointisovellus käytöstä.
  • Jos haluat poistaa postilaatikon Exchange ActiveSync käytöstä, katso Exchange ActiveSync poistaminen käytöstä Exchange Online käyttäjiltä.
  • Jos haluat poistaa käytöstä muuntyyppiset postilaatikon käyttöoikeudet, katso:
    • Ota postilaatikon MAPI käyttöön tai poista se käytöstä.
    • Ota käyttöön tai poista käytöstä KÄYTTÄJÄN POP3- tai IMAP4-käyttöoikeus.
  • OneDrive-synkronointisovellus keskeyttäminen auttaa suojaamaan pilvitietojasi mahdollisesti tartunnan saaneiden laitteiden päivittämiltä. Lisätietoja on artikkelissa Synkronoinnin keskeyttäminen ja jatkaminen OneDrivessa.
• Käytä asianmukaisia korjaustiedostoja ja määritysmuutoksia kyseisissä järjestelmissä.
• Estä kiristyshaittaohjelmaviestintä sisäisellä ja ulkoisella valvonnalla.
• Poista välimuistiin tallennettu sisältö

Tutkimus

Tämän osan avulla voit tutkia hyökkäystä ja suunnitella vastauksesi.

Arvioi nykyinen tilanteesi

• Mikä alun perin sai sinut tietoiseksi kiristyshaittaohjelmahyökkäyksestä?
  • Jos IT-henkilöstö tunnisti alkuperäisen uhan – kuten poistettavat varmuuskopiot, virustentorjuntahälytykset, päätepisteiden tunnistuksen ja vastauksen ilmoitukset tai epäilyttävät järjestelmämuutokset – on usein mahdollista ryhtyä nopeisiin ratkaiseviin toimiin hyökkäyksen estämiseksi, yleensä tässä artikkelissa kuvatuilla eristämistoimilla.
• Minkä päivämäärän ja ajan sait ensimmäisen kerran tietää tapahtumasta?
  • Mitä järjestelmä- ja tietoturvapäivityksiä ei ole asennettu laitteisiin kyseisenä päivänä? Tämä on tärkeää, jotta ymmärretään, mitä haavoittuvuuksia on ehkä hyödynnetty, jotta niihin voidaan puuttua muissa laitteissa.
  • Mitä käyttäjätilejä käytettiin kyseisenä päivämääränä?
  • Mitkä uudet käyttäjätilit on luotu kyseisen päivämäärän jälkeen?
  • Mitkä ohjelmat lisättiin käynnistymään automaattisesti tapahtuman tapahtuma-aikaan?
• Onko mitään viitteitä siitä, että hyökkääjä käyttää parhaillaan järjestelmiä?
  • Onko epäiltyjä vaarantuneita järjestelmiä, jotka kokevat epätavallista toimintaa?
  • Onko olemassa epäiltyjä vaarantuneita tilejä, joita vastustaja näyttää käyttävän aktiivisesti?
  • Onko todisteita aktiivisista komento- ja hallintapalvelimista (C2) EDR:ssä, palomuurissa, VPN:ssä, verkkovälityspalvelimessa ja muissa lokeissa?

Ransomware-prosessin tunnistaminen

• Tarkennetun metsästyksen avulla voit etsiä tunnistettua prosessia prosessin luontitapahtumissa muilla laitteilla.

Etsi näkyviä tunnistetietoja tartunnan saaneista laitteista

• Jos käyttäjätilien tunnistetiedot saattavat vaarantua, palauta tilin salasanat ja vaadi käyttäjiä kirjautumaan uudelleen sisään.
• Seuraavat IOA:t saattavat ilmaista sivuttaista liikkumista:

Laajenna napsauttamalla

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Mimikatz Defender -vahvistin
• PARINACOTA:n käyttämä verkon tarkistustyökalu
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• EpäilyttäväWmiProcessCreation
• MLCmdBasedWithRemoting
• Prosessikäyttöoikeus Lsass
• Epäilyttävä Rundll32-prosessin suorittaminen
• BitsHallinta
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• EpäilyttäväWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• Odbcconf:n epäilyttävä DLL-rekisteröinti
• Epäilyttävä DPAPI-toiminta
• Epäilyttävä Exchange-prosessin suorittaminen
• Epäilyttävä ajoitettu tehtävän käynnistys
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• Ei-luotettu sovellus avaa RDP-yhteyden

Selvitä liiketoiminta-alueen (LOB) sovellukset, jotka eivät ole käytettävissä tapahtuman vuoksi

• Edellyttääkö sovellus käyttäjätietoja?
  • Miten todennus suoritetaan?
  • Miten tunnistetiedot, kuten varmenteet tai salaiset koodit, tallennetaan ja miten niitä hallitaan?
• Ovatko sovelluksen arvioidut varmuuskopiot, sen määritykset ja sen tiedot käytettävissä?
• Määritä vaarantunut palautusprosessi.

Hävittäminen ja hyödyntäminen

Näiden vaiheiden avulla voit poistaa uhan ja palauttaa vioittuneet resurssit.

Vaihe 1: Varmuuskopioiden tarkistaminen

Jos sinulla on offline-varmuuskopioita, voit todennäköisesti palauttaa salatut tiedot sen jälkeen, kun olet poistanut kiristyshaittaohjelman hyötykuorman (haittaohjelman) ympäristöstäsi ja kun olet varmistanut, että Microsoft 365 -vuokraajassasi ei ole luvatonta käyttöä.

Vaihe 2: Ilmaisimien lisääminen

Lisää tunnetut hyökkääjän viestintäkanavat ilmaisimina, jotka on estetty palomuurissa, välityspalvelimissa ja päätepisteissä.

Vaihe 3: Palauta vaarantuneet käyttäjät

Palauta kaikkien tunnettujen vaarantuneiden käyttäjätilien salasanat ja edellytä uutta kirjautumista.

• Harkitse minkä tahansa etuoikeutetun tilin salasanojen palauttamista laajalla järjestelmänvalvojalla, kuten Toimialueen järjestelmänvalvojat -ryhmän jäsenillä.
• Jos hyökkääjä on voinut luoda käyttäjätilin, poista tili käytöstä. Älä poista tiliä, ellei ole suunnitteilla turvallisuustutkintaa.

Vaihe 4: Eristä hyökkääjän hallintapisteet

Eristä kaikki tunnetut hyökkääjän hallintapisteet yrityksen sisällä Internetistä.

Vaihe 5: Haittaohjelmien poistaminen

Poista haittaohjelma asianomaisista laitteista.

• Suorita täysi nykyinen virustentorjuntatarkistus kaikissa epäillyissä tietokoneissa ja laitteissa kiristyshaittaohjelmaan liittyvän hyötykuorman havaitsemiseksi ja poistamiseksi.
• Muista tarkistaa laitteet, jotka synkronoivat tietoja, tai yhdistettyjen verkkoasemien kohteet.

Vaihe 6: Tiedostojen palauttaminen puhdistetussa laitteessa

Palauta tiedostot puhdistetussa laitteessa.

• Voit käyttää tiedostohistoriaa kohteessa Windows 11, Windows 10, Windows 8.1 ja järjestelmän suojausta Windows 7:ssä paikallisten tiedostojen ja kansioiden palauttamiseksi.

Vaihe 7: Palauta tiedostot OneDrive for Business

Palauta tiedostot OneDrive for Business.

• Tiedostojen palauttaminen OneDrive for Business avulla voit palauttaa koko OneDriven edelliseen ajankohtaan viimeisten 30 päivän aikana. Katso lisätietoja osiosta OneDriven palauttaminen.

Vaihe 8: Poistetun sähköpostin palauttaminen

Palauta poistettu sähköposti.

• Harvoissa tapauksissa, joissa kiristyshaittaohjelma poisti kaikki sähköpostit postilaatikosta, voit palauttaa poistetut kohteet. Katso Käyttäjän postilaatikon poistettujen viestien palauttaminen Exchange Online.

Vaihe 9: ota Exchange ActiveSync ja OneDrive-synkronointisovellus uudelleen käyttöön

• Kun olet puhdistanut tietokoneet ja laitteet ja palauttanut tiedot, voit ottaa uudelleen käyttöön Exchange ActiveSync ja OneDrive-synkronointisovellus, jotka olet aiemmin poistanut käytöstä eristämisen vaiheessa 3.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.