Approche de ransomware Microsoft DART et meilleures pratiques

Le ransomware géré par l’homme n’est pas un problème de logiciel malveillant, c’est un problème criminel humain. Les solutions utilisées pour résoudre les problèmes de produits de base ne suffisent pas à prévenir une menace qui ressemble plus étroitement à un acteur de menace de l’État national qui :

  • Désactive ou désinstalle votre logiciel antivirus avant de chiffrer des fichiers
  • Désactive les services de sécurité et la journalisation pour éviter la détection
  • Localise et endommage ou supprime les sauvegardes avant d’envoyer une demande de rançon

Ces actions sont généralement effectuées avec des programmes légitimes que vous pouvez déjà avoir dans votre environnement à des fins administratives. Dans les mains criminelles, ces outils sont utilisés de manière malveillante pour effectuer des attaques.

La réponse à la menace croissante des ransomware nécessite une combinaison de la configuration moderne de l’entreprise, des produits de sécurité à jour et de la vigilance du personnel de sécurité formé pour détecter et répondre aux menaces avant la perte des données.

L’équipe de détection et de réponse Microsoft répond aux compromis de sécurité pour aider les clients à devenir cyber-résilients. Le DART fournit une réponse réactive aux incidents sur site et des enquêtes proactives à distance. DART s’appuie sur les partenariats stratégiques de Microsoft avec les organisations de sécurité du monde entier et les groupes de produits Microsoft internes pour fournir l’examen le plus complet et le plus approfondi possible.

Cet article décrit comment DART gère les attaques par ransomware pour les clients Microsoft afin que vous puissiez envisager d’appliquer des éléments de leur approche et de meilleures pratiques pour votre propre playbook sur les opérations de sécurité.

Pour plus d’informations, consultez les sections suivantes :

Notes

Ce contenu d’article a été dérivé du guide A pour lutter contre les ransomwares gérés par l’homme : Partie 1 et Guide de lutte contre les ransomwares gérés par l’homme : Partie 2 Billets de blog de l’équipe de sécurité Microsoft.

Utilisation des services de sécurité Microsoft par DART

DART s’appuie fortement sur des données pour toutes les investigations et utilise des déploiements existants de services de sécurité Microsoft tels que Microsoft Defender pour Office 365, Microsoft Defender pour point de terminaison, Microsoft Defender pour Identity et Microsoft Defender pour Cloud Apps.

Defender pour point de terminaison

Defender pour point de terminaison est la plateforme de sécurité des points de terminaison d’entreprise de Microsoft conçue pour aider les analystes de sécurité réseau d’entreprise à prévenir, détecter, examiner et répondre aux menaces avancées. Defender pour point de terminaison peut détecter les attaques à l’aide d’analyses comportementales avancées et du Machine Learning. Vos analystes peuvent utiliser Defender pour point de terminaison pour l’analyse comportementale des attaquants.

Voici un exemple d’alerte dans Microsoft Defender pour point de terminaison pour une attaque pass-the-ticket.

Example of an alert in Microsoft Defender for Endpoint for a pass-the-ticket attack

Vos analystes peuvent également effectuer des requêtes de chasse avancées pour pivoter hors des indicateurs de compromission (IOC) ou rechercher un comportement connu s’ils identifient un groupe d’acteurs de menace.

Voici un exemple de la façon dont les requêtes de repérage avancées peuvent être utilisées pour localiser le comportement d’attaquant connu.

An example of an advanced hunting query.

Dans Defender pour point de terminaison, vous avez accès à un service de surveillance et d’analyse au niveau de l’expert en temps réel par microsoft Threat Experts pour les activités suspectes en cours d’acteur. Vous pouvez également collaborer avec des experts à la demande pour obtenir des informations supplémentaires sur les alertes et les incidents.

Voici un exemple de la façon dont Defender pour point de terminaison affiche une activité de ransomware détaillée.

Example of how Defender for Endpoint shows detailed ransomware activity.

Defender pour Identity

Vous utilisez Defender pour Identity pour examiner les comptes compromis connus et rechercher des comptes potentiellement compromis dans votre organisation. Defender pour Identity envoie des alertes pour les activités malveillantes connues que les acteurs utilisent souvent comme les attaques DCSync, les tentatives d’exécution de code à distance et les attaques de hachage directes. Defender pour Identity vous permet d’identifier l’activité et les comptes suspects pour affiner l’enquête.

Voici un exemple de la façon dont Defender pour Identity envoie des alertes pour des activités malveillantes connues liées aux attaques par ransomware.

An example of how Defender for Identity sends alerts for ransomware attacks

Defender for Cloud Apps

Defender pour Cloud Apps (anciennement Microsoft Defender pour Cloud Apps) permet à vos analystes de détecter un comportement inhabituel entre les applications cloud afin d’identifier les ransomwares, les utilisateurs compromis ou les applications non autorisées. Defender pour Cloud Apps est la solution CASB (Cloud Access Security Broker) de Microsoft qui permet de surveiller les services cloud et l’accès aux données dans les services cloud par les utilisateurs.

Voici un exemple du tableau de bord Defender pour Cloud Apps, qui permet à l’analyse de détecter un comportement inhabituel entre les applications cloud.

an example of the Defender for Cloud Apps dashboard.

Degré de sécurisation Microsoft

L’ensemble des services Microsoft 365 Defender fournit des recommandations de correction dynamiques pour réduire la surface d’attaque. Microsoft Secure Score est une mesure de la posture de sécurité d’une organisation, avec un nombre plus élevé indiquant que d’autres actions d’amélioration ont été prises. Consultez la documentation Du degré de sécurisation pour en savoir plus sur la façon dont votre organisation peut tirer parti de cette fonctionnalité pour hiérarchiser les actions de correction basées sur leur environnement.

L’approche DART pour mener des enquêtes sur les incidents de ransomware

Vous devez faire tout pour déterminer comment l’adversaire a obtenu l’accès à vos ressources afin que les vulnérabilités puissent être corrigées. Sinon, il est très probable que le même type d’attaque se reproduise à l’avenir. Dans certains cas, l’acteur de la menace prend des mesures pour couvrir ses traces et détruire les preuves, il est donc possible que l’ensemble de la chaîne d’événements ne soit pas évidente.

Voici trois étapes clés dans les enquêtes de ransomware DART :

Étape Objectif Premières questions
1. Évaluer la situation actuelle Comprendre l’étendue Qu’est-ce qui vous a initialement rendu compte d’une attaque par ransomware ?

Quelle heure/date avez-vous appris pour la première fois de l’incident ?

Quels journaux sont disponibles et indique-t-il que l’acteur accède actuellement aux systèmes ?
2. Identifier les applications métier affectées Récupérer les systèmes en ligne L’application a-t-elle besoin d’une identité ?

Les sauvegardes de l’application, de la configuration et des données sont-elles disponibles ?

Le contenu et l’intégrité des sauvegardes sont-ils vérifiés régulièrement à l’aide d’un exercice de restauration ?
3. Déterminer le processus de récupération de compromission (CR) Supprimer le contrôle des attaquants de l’environnement N/A

Étape 1. Évaluer la situation actuelle

Une évaluation de la situation actuelle est essentielle pour comprendre l’étendue de l’incident et pour déterminer les meilleures personnes à aider et à planifier et étendre les tâches d’investigation et de correction. Poser les questions initiales suivantes est essentielle pour aider à déterminer la situation.

Qu’est-ce qui vous a initialement rendu compte de l’attaque par ransomware ?

Si la menace initiale a été identifiée par le personnel informatique, comme la suppression des sauvegardes, les alertes antivirus, les alertes de détection et la réponse des points de terminaison (EDR) ou les changements de système suspects, il est souvent possible de prendre des mesures décisives rapides pour contrecarrer l’attaque, généralement en désactivant toutes les communications Internet entrantes et sortantes. Cela peut affecter temporairement les opérations commerciales, mais cela serait généralement beaucoup moins impactant qu’un adversaire déployant des ransomwares.

Si la menace a été identifiée par un appel de l’utilisateur au support technique informatique, il peut y avoir suffisamment d’avertissement avancé pour prendre des mesures défensives pour empêcher ou réduire les effets de l’attaque. Si la menace a été identifiée par une entité externe (comme l’application de la loi ou une institution financière), il est probable que les dommages sont déjà faits, et vous verrez des preuves dans votre environnement que l’acteur de menace a déjà obtenu le contrôle administratif de votre réseau. Cela peut aller des notes de ransomware, des écrans verrouillés ou des demandes de rançon.

Quelle date/heure avez-vous appris pour la première fois de l’incident ?

L’établissement de la date et de l’heure de l’activité initiale est important, car il permet de limiter l’étendue du triage initial pour les gains rapides par l’attaquant. D’autres questions peuvent inclure :

  • Quelles sont les mises à jour manquantes à cette date ? Il est important de comprendre les vulnérabilités qui ont pu être exploitées par l’adversaire.
  • Quels comptes ont été utilisés à cette date ?
  • Quels sont les nouveaux comptes créés depuis cette date ?

Quels journaux sont disponibles et indique-t-il que l’acteur accède actuellement aux systèmes ?

Les journaux, tels que l’antivirus, l’EDR et le réseau privé virtuel (VPN) sont un indicateur de compromission suspectée. Les questions de suivi peuvent inclure :

  • Les journaux sont-ils agrégés dans une solution SIEM (Security Information and Event Management), comme Microsoft Sentinel, Splunk, ArcSight et d’autres , et actuels ? Quelle est la période de rétention de ces données ?
  • Existe-t-il des systèmes suspects compromis qui rencontrent des activités inhabituelles ?
  • Existe-t-il des comptes compromis suspectés qui semblent être utilisés activement par l’adversaire ?
  • Existe-t-il des preuves de commande et de contrôles actifs (C2s) dans EDR, pare-feu, VPN, proxy web et autres journaux d’activité ?

Dans le cadre de l’évaluation de la situation actuelle, vous pouvez avoir besoin d’un contrôleur de domaine Active Directory Domain Services (AD DS) qui n’a pas été compromis, d’une sauvegarde récente d’un contrôleur de domaine ou d’un contrôleur de domaine récent mis hors connexion pour la maintenance ou les mises à niveau. Déterminez également si l’authentification multifacteur (MFA) a été requise pour tous les membres de l’entreprise et si Azure Active Directory (Azure AD) a été utilisé.

Étape 2. Identifier les applications métier qui ne sont pas disponibles en raison de l’incident

Cette étape est essentielle pour déterminer le moyen le plus rapide d’obtenir les systèmes en ligne tout en obtenant les preuves requises.

L’application a-t-elle besoin d’une identité ?

  • Comment l’authentification est-elle effectuée ?
  • Comment les informations d’identification telles que les certificats ou les secrets sont-ils stockés et gérés ?

Les sauvegardes testées de l’application, de la configuration et des données sont-elles disponibles ?

  • Le contenu et l’intégrité des sauvegardes sont-ils vérifiés régulièrement à l’aide d’un exercice de restauration ? Cela est particulièrement important après les modifications ou mises à niveau de version de la gestion de la configuration.

Étape 3. Déterminer le processus de récupération de compromission

Cette étape peut être nécessaire si vous avez déterminé que le plan de contrôle, qui est généralement AD DS, a été compromis.

Votre investigation doit toujours avoir un objectif de fournir une sortie qui alimente directement le processus CR. CR est le processus qui supprime le contrôle des attaquants d’un environnement et augmente tactiquement la posture de sécurité au cours d’une période définie. CR a lieu après une violation de la sécurité. Pour en savoir plus sur cr, lisez le CRSP de l’équipe Microsoft Compromise Recovery Security Practice : L’équipe d’urgence qui lutte contre les cyber-attaques à côté de l’article de blog des clients.

Une fois que vous avez collecté les réponses aux questions ci-dessus, vous pouvez créer une liste de tâches et attribuer des propriétaires. Un facteur clé dans un engagement de réponse aux incidents réussi est une documentation détaillée de chaque élément de travail (par exemple, le propriétaire, l’état, les résultats, la date et l’heure), ce qui rend la compilation des résultats à la fin de l’engagement un processus simple.

Recommandations et bonnes pratiques relatives aux DART

Voici les recommandations et les meilleures pratiques du DART pour les activités de confinement et de post-incident.

Containment

L’isolement ne peut se produire qu’une fois que l’analyse a déterminé ce qui doit être contenu. Dans le cas d’un ransomware, l’objectif de l’adversaire est d’obtenir des informations d’identification qui permettent le contrôle administratif sur un serveur hautement disponible, puis de déployer le ransomware. Dans certains cas, l’acteur de menace identifie les données sensibles et les exfiltra à un emplacement qu’ils contrôlent.

La récupération tactique sera unique pour l’environnement, le secteur d’activité et le niveau d’expertise et d’expérience informatiques de votre organisation. Les étapes décrites ci-dessous sont recommandées pour les étapes de confinement tactique et à court terme que votre organisation peut entreprendre. Pour en savoir plus sur les conseils à long terme, consultez la sécurisation de l’accès privilégié. Pour une vue complète des rançongiciels et de l’extorsion et de la préparation et de la protection de votre organisation, consultez ransomware géré par l’homme.

Les étapes de confinement suivantes peuvent être effectuées simultanément au fur et à mesure que de nouveaux vecteurs de menace sont découverts.

Étape 1 : Évaluer l’étendue de la situation

  • Quels comptes d’utilisateur ont été compromis ?
  • Quels appareils sont affectés ?
  • Quelles applications sont affectées ?

Étape 2 : Conserver les systèmes existants

  • Désactivez tous les comptes d’utilisateur privilégiés à l’exception d’un petit nombre de comptes utilisés par vos administrateurs pour faciliter la réinitialisation de l’intégrité de votre infrastructure AD DS. Si un compte d’utilisateur est considéré comme compromis, désactivez-le immédiatement.
  • Isolez les systèmes compromis du réseau, mais ne les arrêtez pas.
  • Isoler au moins un contrôleur de domaine correct connu dans chaque domaine : deux sont encore mieux. Déconnectez-les du réseau ou arrêtez-les entièrement. L’objet ici est d’arrêter la propagation des rançongiciels aux systèmes critiques , l’identité étant parmi les plus vulnérables. Si tous vos contrôleurs de domaine sont virtuels, assurez-vous que le système et les lecteurs de données de la plateforme de virtualisation sont sauvegardés sur un support externe hors connexion qui n’est pas connecté au réseau, au cas où la plateforme de virtualisation elle-même était compromise.
  • Isolez les serveurs d’applications corrects connus critiques, par exemple SAP, la base de données de gestion de la configuration (CMDB), la facturation et les systèmes de comptabilité.

Ces deux étapes peuvent être effectuées simultanément à mesure que de nouveaux vecteurs de menace sont découverts. Désactivez ces vecteurs de menace, puis essayez de trouver un système correct connu pour isoler du réseau.

D’autres actions tactiques de confinement peuvent inclure :

  • Réinitialisez le mot de passe krbtgt, deux fois en succession rapide. Envisagez d’utiliser un processus reproductible et scripté. Ce script vous permet de réinitialiser le mot de passe du compte krbtgt et les clés associées tout en réduisant la probabilité que les problèmes d’authentification Kerberos soient provoqués par l’opération. Pour réduire les problèmes potentiels, la durée de vie krbtgt peut être réduite une ou plusieurs fois avant la première réinitialisation du mot de passe afin que les deux réinitialisations soient effectuées rapidement. Notez que tous les contrôleurs de domaine que vous envisagez de conserver dans votre environnement doivent être en ligne.

  • Déployez une stratégie de groupe sur l’ensemble du ou des domaines qui empêchent la connexion privilégiée (administrateurs de domaine) sur tout, mais les contrôleurs de domaine et les stations de travail d’administration uniquement privilégiées (le cas échéant).

  • Installez toutes les mises à jour de sécurité manquantes pour les systèmes d’exploitation et les applications. Chaque mise à jour manquante est un vecteur de menace potentiel que les adversaires peuvent rapidement identifier et exploiter. La gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison offre un moyen simple de voir exactement ce qui manque, ainsi que l’impact potentiel des mises à jour manquantes.

  • Vérifiez que chaque application externe, y compris l’accès VPN, est protégée par l’authentification multifacteur, de préférence à l’aide d’une application d’authentification qui s’exécute sur un appareil sécurisé.

  • Pour les appareils qui n’utilisent pas Defender pour point de terminaison comme logiciel antivirus principal, exécutez une analyse complète avec Microsoft Safety Scanner sur des systèmes connus isolés avant de les reconnecter au réseau.

  • Pour tous les systèmes d’exploitation hérités, effectuez une mise à niveau vers un système d’exploitation pris en charge ou désactivez ces appareils. Si ces options ne sont pas disponibles, prenez toutes les mesures possibles pour isoler ces appareils, y compris l’isolation réseau/VLAN, les règles de sécurité du protocole Internet (IPsec) et les restrictions de connexion, de sorte qu’elles ne sont accessibles qu’aux applications par les utilisateurs/appareils pour assurer la continuité de l’activité.

Les configurations les plus risquées consistent à exécuter des systèmes stratégiques sur des systèmes d’exploitation hérités aussi anciens que Windows NT 4.0 et les applications, tous sur du matériel hérité. Non seulement ces systèmes d’exploitation et applications sont-ils non sécurisés et vulnérables, si ce matériel échoue, les sauvegardes ne peuvent généralement pas être restaurées sur du matériel moderne. Sauf si le matériel hérité de remplacement est disponible, ces applications cesseront de fonctionner. Envisagez fortement de convertir ces applications pour qu’elles s’exécutent sur les systèmes d’exploitation et le matériel actuels.

Activités post-incident

DART recommande d’implémenter les recommandations de sécurité et les bonnes pratiques suivantes après chaque incident.

  • Assurez-vous que les bonnes pratiques sont en place pour les solutions de messagerie et de collaboration afin de rendre les attaquants plus difficiles à abuser tout en permettant aux utilisateurs internes d’accéder facilement et en toute sécurité au contenu externe.

  • Suivez les meilleures pratiques de sécurité Confiance Zéro pour les solutions d’accès à distance aux ressources organisationnelles internes.

  • À compter des administrateurs à impact critique, suivez les meilleures pratiques pour la sécurité des comptes, notamment l’utilisation de l’authentification sans mot de passe ou de l’authentification multifacteur.

  • Implémentez une stratégie complète pour réduire le risque de compromission de l’accès privilégié.

  • Implémentez la protection des données pour bloquer les techniques de ransomware et confirmer la récupération rapide et fiable d’une attaque.

  • Passez en revue vos systèmes critiques. Vérifiez la protection et les sauvegardes contre l’effacement ou le chiffrement délibérés de l’attaquant. Il est important que vous testiez et validiez régulièrement ces sauvegardes.

  • Vérifiez la détection et la correction rapides des attaques courantes sur le point de terminaison, l’e-mail et l’identité.

  • Découvrez et améliorez activement la posture de sécurité de votre environnement.

  • Mettez à jour les processus organisationnels pour gérer les principaux événements de ransomware et rationaliser l’externalisation afin d’éviter les frictions.

PAM

L’utilisation de PAM (anciennement le modèle d’administration hiérarchisé) améliore la posture de sécurité d’Azure AD. Cela implique les opérations suivantes :

  • Fractionnant les comptes d’administration dans un environnement « planed », un compte pour chaque niveau, généralement quatre :

  • Plan de contrôle (anciennement niveau 0) : administration des contrôleurs de domaine et d’autres services d’identité essentiels, tels que les services de fédération Active Directory (ADFS) ou Azure AD Connect. Cela inclut également les applications serveur qui nécessitent des autorisations d’administration pour AD DS, telles qu’Exchange Server.

  • Les deux avions suivants étaient auparavant de niveau 1 :

    • Plan de gestion : gestion des ressources, surveillance et sécurité.

    • Plan de données/charge de travail : applications et serveurs d’applications.

  • Les deux avions suivants étaient auparavant de niveau 2 :

    • Accès utilisateur : droits d’accès pour les utilisateurs (tels que les comptes).

    • Accès aux applications : droits d’accès pour les applications.

  • Chacun de ces avions disposera d’une station de travail administrative distincte pour chaque plan et n’aura accès qu’aux systèmes de ce plan. D’autres comptes d’autres plans sont refusés à l’accès aux stations de travail et aux serveurs des autres plans par le biais d’affectations de droits utilisateur définies sur ces machines.

Le résultat net du PAM est que :

  • Un compte d’utilisateur compromis n’a accès qu’au plan auquel il appartient.

  • Les comptes d’utilisateur plus sensibles ne se connectent pas aux stations de travail et aux serveurs dont le niveau de sécurité est inférieur, ce qui réduit le mouvement latéral.

TOURS

Par défaut, Microsoft Windows et AD DS n’ont pas de gestion centralisée des comptes d’administration locaux sur les stations de travail et les serveurs membres. Cela entraîne généralement un mot de passe commun donné pour tous ces comptes locaux, ou au moins dans des groupes d’ordinateurs. Cela permet aux attaquants de compromettre un compte d’administrateur local, puis d’utiliser ce compte pour accéder à d’autres stations de travail ou serveurs de l’organisation.

Le programme LAPS de Microsoft atténue cela à l’aide d’une extension côté client de stratégie de groupe qui modifie le mot de passe d’administration local à intervalles réguliers sur les stations de travail et les serveurs en fonction de l’ensemble de stratégies. Chacun de ces mots de passe est différent et stocké en tant qu’attribut dans l’objet ordinateur AD DS. Cet attribut peut être récupéré à partir d’une application cliente simple, en fonction des autorisations attribuées à cet attribut.

LAPS nécessite que le schéma AD DS soit étendu pour permettre l’ajout de l’attribut, l’installation des modèles de stratégie de groupe LAPS et l’installation d’une petite extension côté client sur chaque station de travail et serveur membre pour fournir les fonctionnalités côté client.

Vous pouvez obtenir LAPS à partir du Centre de téléchargement Microsoft.

Playbooks sur les réponses aux incidents

Vérifiez les aides afin d’identifier et d’examiner ces types d’attaque :

Ressources pour répondre aux incidents

Autres ressources de ransomware

Informations clés de Microsoft :

Microsoft 365 :

Microsoft 365 Defender :

Microsoft Azure :

Microsoft Defender pour Cloud Apps :

Billets de blog de l’équipe de sécurité Microsoft :