Microsoft DART ransomware esettanulmány
Az ember által üzemeltetett ransomware továbbra is fenntartja pozícióját, mint az egyik leghatásosabb kibertámadási trend világszerte, és jelentős fenyegetés, amellyel sok szervezet szembesült az elmúlt években. Ezek a támadások kihasználják a hálózati helytelen konfigurációkat, és a szervezet gyenge belső biztonságára támaszkodnak. Bár ezek a támadások egyértelmű és súlyos veszélyt jelentenek a szervezetekre és informatikai infrastruktúrájukra és adataikra , megelőzhető katasztrófa.
A Microsoft észlelési és válaszcsapata (DART) válaszol a biztonsági résekre, hogy segítsen az ügyfeleknek a kiberbűnözővé válásban. A DART helyszíni reaktív incidenskezelést és távoli proaktív vizsgálatokat biztosít. A DART a Microsoft stratégiai partnerségeit használja ki a világ biztonsági szervezeteivel és belső Microsoft-termékcsoportokkal, hogy a lehető legteljesebb és legáttételesebb vizsgálatot nyújthassa.
Ez a cikk azt ismerteti, hogy a DART hogyan vizsgálta meg a legutóbbi ransomware incidenst a támadási taktikák és az észlelési mechanizmusok részleteivel.
További információért lásd a DART útmutatójának 1 . és 2 . részét az ember által működtetett zsarolóprogramok elleni küzdelemről.
A támadás
A DART incidenskezelési eszközöket és taktikákat használ az emberi üzemeltetésű zsarolóprogramok veszélyforrás-viselkedésének azonosításához. A ransomware-eseményekre vonatkozó nyilvános információk a végső hatásra összpontosítanak, de ritkán emelik ki a művelet részleteit, és azt, hogy a fenyegetések szereplői észrevétlenül eszkalálhatták hozzáférésüket, hogy felfedezzék, bevételt és zsarolják.
Íme néhány gyakori módszer, amelyet a támadók a MITRE ATT&CK-taktikán alapuló zsarolóprogram-támadásokhoz használnak.
A DART Végponthoz készült Microsoft Defender használt a támadó környezeten keresztüli nyomon követésére, az incidenst ábrázoló történet létrehozására, majd a fenyegetés megszüntetésére és elhárítására. Az üzembe helyezést követően a Defender for Endpoint megkezdte a sikeres bejelentkezések észlelését egy találgatásos támadásból. Ennek felfedezése után a DART áttekintette a biztonsági adatokat, és több sebezhető, internetre irányuló eszközt talált a Távoli asztali protokoll (RDP) használatával.
A kezdeti hozzáférés megszerzése után a fenyegetést kezelő szereplő a Mimikatz hitelesítőadat-gyűjtési eszközzel memóriaképet készített a jelszókivonatokról, beolvasta az egyszerű szövegben tárolt hitelesítő adatokat, sticky key manipulációval létrehozott backdoorokat, és a távoli asztali munkamenetek használatával oldalirányban mozgatta a hálózatot.
Ebben az esettanulmányban itt találja a támadó által kijelölt útvonalat.
A következő szakaszok a MITRE ATT&CK-taktikán alapuló további részleteket ismertetik, és példákat is tartalmaznak a fenyegetéselktori tevékenységek észlelésére a Microsoft Defender portálon.
Kezdeti hozzáférés
A ransomware-kampányok jól ismert biztonsági réseket használnak a kezdeti belépéshez, általában adathalász e-maileket vagy a szegélyvédelem gyengeségeit, például az interneten közzétett, engedélyezett távoli asztali szolgáltatással rendelkező eszközöket.
Ebben az incidensben a DART olyan eszközt talált, amely 3389-ös TCP-portot adott meg az interneten elérhető RDP-hez. Ez lehetővé tette, hogy a fenyegetést indító szereplők találgatásos hitelesítési támadást hajtsanak végre, és megszerezték a kezdeti láblécet.
A Defender for Endpoint fenyegetésfelderítést használt annak megállapítására, hogy számos bejelentkezés történt ismert találgatásos forrásokból, és megjelenítette őket a Microsoft Defender portálon. Íme egy példa.
Felderítés
Miután a kezdeti hozzáférés sikeres volt, megkezdődött a környezet számbavétele és az eszközfelderítés. Ezek a tevékenységek lehetővé tették, hogy a fenyegetést figyelő szereplők azonosíthassák a szervezet belső hálózatával kapcsolatos információkat, és olyan kritikus rendszereket célozhassanak meg, mint a tartományvezérlők, a biztonsági mentési kiszolgálók, az adatbázisok és a felhőbeli erőforrások. Az enumerálás és az eszközfelderítés után a veszélyforrások szereplői hasonló tevékenységeket hajtottak végre a sebezhető felhasználói fiókok, csoportok, engedélyek és szoftverek azonosításához.
A fenyegetési szereplő az Advanced IP Scannert, egy IP-címolvasó eszközt használta a környezetben használt IP-címek számbavételére és az azt követő portvizsgálat elvégzésére. Nyitott portok keresésével a fenyegetéskezelő felderítette az eredetileg feltört eszközről elérhető eszközöket.
Ezt a tevékenységet a Végponthoz készült Defenderben észlelték, és a biztonsági rés (IoC) jelzéseként használták a további vizsgálathoz. Íme egy példa.
Hitelesítő adatok ellopása
A kezdeti hozzáférés megszerzése után a fenyegetést figyelő szereplők hitelesítő adatok begyűjtését végezték a Mimikatz jelszólekérési eszközével, és megkeresték a "jelszót" tartalmazó fájlokat az eredetileg feltört rendszereken. Ezek a műveletek lehetővé ták, hogy a fenyegetést jelölő szereplők további, megbízható hitelesítő adatokkal rendelkező rendszerekhez férjenek hozzá. A fenyegetést javító szereplők sok esetben további fiókokat hoznak létre a kezdeti feltört fiókok azonosítása és szervizelése után a megőrzés fenntartása érdekében.
Íme egy példa a Mimikatz észlelt használatára a Microsoft Defender portálon.
Oldalirányú mozgás
A végpontok közötti mozgás különböző szervezetekben eltérő lehet, de a fenyegetéskezelők általában az eszközön már létező távfelügyeleti szoftverek különböző fajtáit használják. Az informatikai részleg által a mindennapi tevékenységeik során gyakran használt távelérési módszerek használatával a fenyegetést okozó szereplők hosszabb ideig repülhetnek a radar alatt.
A Microsoft Defender for Identity használatával a DART le tudta képezni a fenyegetést okozó szereplő által az eszközök között megtett utat, megjelenítve a használt és elért fiókokat. Íme egy példa.
Védelmi kijátszás
Az észlelés elkerülése érdekében a fenyegetések szereplői védelmi kijátszási technikákat alkalmaztak az azonosítás elkerülése érdekében, és céljukat a támadási ciklus során érték el. Ezek a technikák közé tartozik a vírusirtó termékek letiltása vagy illetéktelen módosítása, a biztonsági termékek vagy szolgáltatások eltávolítása vagy letiltása, a tűzfalszabályok módosítása, valamint a behatolás összetevőinek elrejtése a biztonsági termékek és szolgáltatások elől.
Az incidens veszélyforrás-szereplője a PowerShell használatával letiltotta a Microsoft Defender valós idejű védelmét Windows 11- és Windows 10-eszközökön, valamint helyi hálózati eszközökön a 3389-as TCP-port megnyitásához és RDP-kapcsolatok engedélyezéséhez. Ezek a módosítások csökkentették az észlelés esélyét egy környezetben, mivel módosították a kártékony tevékenységek észlelésére és riasztására szolgáló rendszerszolgáltatásokat.
A Defender for Endpoint azonban nem tiltható le a helyi eszközről, és képes volt észlelni ezt a tevékenységet. Íme egy példa.
Kitartás
Az adatmegőrzési technikák közé tartoznak a fenyegetést figyelő szereplők által végrehajtott műveletek, amelyek a biztonsági személyzet erőfeszítéseit követően egységes hozzáférést biztosítanak a rendszerekhez a feltört rendszerek ellenőrzésének visszaszerzése érdekében.
Az incidens fenyegetéskezelői azért használták a Sticky Keys hacket, mert lehetővé teszi a bináris fájlok távoli végrehajtását a Windows operációs rendszeren hitelesítés nélkül. Ezt a képességet egy parancssor végrehajtására és további támadások végrehajtására használták.
Íme egy példa a Sticky Keys hack észlelésére a Microsoft Defender portálon.
Hatás
A veszélyforrás-szereplők általában a környezetben már létező alkalmazásokkal vagy funkciókkal titkosítják a fájlokat. A PsExec, a csoportházirend és a Microsoft Endpoint Configuration Management olyan üzembe helyezési módszerek, amelyek lehetővé teszik a szereplők számára, hogy a normál műveletek megzavarása nélkül gyorsan elérjék a végpontokat és a rendszereket.
Az incidens fenyegetési szereplője a PsExec segítségével távolról indított egy interaktív PowerShell-szkriptet különböző távoli megosztásokból. Ez a támadási módszer véletlenszerűvé teszi a terjesztési pontokat, és megnehezíti a szervizelést a ransomware-támadás utolsó fázisában.
Zsarolóprogramok végrehajtása
A zsarolóprogram-végrehajtás az egyik elsődleges módszer, amelyet a fenyegetést okozó szereplő a támadás bevételszerzésére használ. A végrehajtási módszertantól függetlenül a különböző ransomware-keretrendszerek általában általános viselkedési mintával rendelkeznek az üzembe helyezés után:
- Fenyegetéselküldő műveletek elrejtése
- Állandóság megállapítása
- Windows-hibák helyreállításának és automatikus javításának letiltása
- Szolgáltatások listájának leállítása
- Folyamatok listájának leállása
- Árnyékmásolatok és biztonsági másolatok törlése
- Fájlok titkosítása, egyéni kizárások megadása
- Zsarolóprogram-megjegyzés létrehozása
Íme egy példa egy ransomware megjegyzésre.
További ransomware-erőforrások
A Microsoft legfontosabb információi:
- A zsarolóvírusok növekvő fenyegetése, a Microsoft On the Issues blogbejegyzése 2021. július 20-án
- Ember által működtetett zsarolóprogramok
- Gyors védelem a zsarolóprogramok és a zsarolás ellen
- 2021 Microsoft Digitális védelmi jelentés (lásd: 10–19. oldal)
- Ransomware: Egy átható és folyamatos fenyegetéselemzési jelentés a Microsoft Defender portálon
- A Microsoft DART ransomware megközelítése és ajánlott eljárásai
Microsoft 365:
- Zsarolóprogram-védelem üzembe helyezése a Microsoft 365-bérlőn
- A Ransomware rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
- Helyreállítás zsarolóprogram-támadásból
- Kártevők és zsarolóprogramok elleni védelem
- Windows 10 rendszerű pc védelme zsarolóprogramokkal szemben
- Zsarolóprogramok kezelése a SharePoint Online-ban
- Zsarolóprogramok fenyegetéselemzési jelentései a Microsoft Defender portálon
Microsoft Defender XDR:
Felhőhöz készült Microsoft Defender alkalmazások:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- A Ransomware rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
- Biztonsági mentési és visszaállítási terv a zsarolóprogramok elleni védelemhez
- Segítség a zsarolóprogramok elleni védelemhez a Microsoft Azure Backup segítségével (26 perces videó)
- Helyreállítás rendszerszintű identitás sérüléséből
- Fejlett többfázisú támadásészlelés a Microsoft Sentinelben
- Fúziós észlelés ransomware-hez a Microsoft Sentinelben
A Microsoft Security csapatának blogbejegyzései:
3 lépés a zsarolóvírusok megelőzéséhez és helyreállításához (2021. szeptember)
Útmutató az ember által működtetett zsarolóprogramok elleni küzdelemhez: 1. rész (2021. szeptember)
A Microsoft észlelési és válaszcsapatának (DART) a zsarolóprogram-incidensek kivizsgálásához szükséges főbb lépések.
Útmutató az ember által működtetett zsarolóprogramok elleni küzdelemhez: 2. rész (2021. szeptember)
Javaslatok és ajánlott eljárások.
-
Lásd a Ransomware szakaszt.
Ember által működtetett zsarolóprogram-támadások: Megelőzhető katasztrófa (2020. március)
Tartalmazza a tényleges támadások támadáslánc-elemzését.
Ransomware-válasz – fizetni vagy nem fizetni? (2019. december)
A Norsk Hydro átláthatósággal válaszol a ransomware-támadásokra (2019. december)