Microsoft's PIJL-RANSOMWARE-benadering en best practices

  • Artikel
  • 15 minuten om te lezen

Door mensen beheerde ransomware is geen probleem met schadelijke software, maar een menselijk probleem. De oplossingen die worden gebruikt om problemen met goederen aan te pakken, zijn niet voldoende om een bedreiging te voorkomen die meer lijkt op een nationale bedreigingsacteur die:

  • Uw antivirussoftware uitschakelen of verwijderen voordat u bestanden versleutelt
  • Schakelt beveiligingsservices en logboekregistratie uit om detectie te voorkomen
  • Zoekt en corrumpeert of verwijdert back-ups voordat u een vraag naar een losprijs verstuurt

Deze acties worden vaak uitgevoerd met legitieme programma's die u mogelijk al in uw omgeving hebt voor administratieve doeleinden. In criminele handen worden deze hulpprogramma's kwaadwillend gebruikt om aanvallen uit te voeren.

Om te reageren op de toenemende bedreiging van ransomware is een combinatie van moderne bedrijfsconfiguratie, up-to-date beveiligingsproducten en de waakzaamheid van getraind beveiligingspersoneel vereist om de bedreigingen te detecteren en te beantwoorden voordat gegevens verloren gaan.

Het Microsoft Detection and Response Team (DART) reageert op beveiligingsrisico's om klanten te helpen cyberbestendig te worden. DART biedt reactief reactie op incidenten op locatie en proactieve externe onderzoeken. DART maakt gebruik van de strategische samenwerking van Microsoft met beveiligingsorganisaties over de hele wereld en interne Microsoft-productgroepen om een zo volledig en grondig mogelijk onderzoek te bieden.

In dit artikel wordt beschreven hoe DART ransomware-aanvallen voor Microsoft-klanten verwerkt, zodat u kunt overwegen om elementen van hun aanpak en best practices toe te passen voor uw eigen playbook voor beveiligingsbewerkingen.

Zie deze secties voor de details:

Opmerking

Dit artikel is afgeleid van de A-handleiding voor het bestrijden van door mensen beheerde ransomware: Deel 1 en Een handleiding voor het bestrijden van door mensen beheerde ransomware: Blogberichten van het Microsoft Security-team van deel 2.

Hoe DART Microsoft-beveiligingsservices gebruikt

DART is sterk afhankelijk van gegevens voor alle onderzoeken en gebruikt bestaande implementaties van Microsoft-beveiligingsservices, zoals Microsoft Defender voor Office 365,Microsoft Defendervoor Eindpunt, Microsoft Defendervoor identiteit en Microsoft Defender voor Cloud-apps.

Defender voor Eindpunt

Defender for Endpoint is het beveiligingsplatform voor zakelijke eindpunten van Microsoft dat is ontworpen om beveiligingsanalisten van het bedrijfsnetwerk te helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Defender voor Eindpunt kan aanvallen detecteren met behulp van geavanceerde gedragsanalyse en machine learning. Uw analisten kunnen Defender voor eindpunt gebruiken voor gedragsanalyse van aanvallers.

Hier is een voorbeeld van een waarschuwing in Microsoft Defender voor Eindpunt voor een pass-the-ticket-aanval.

Voorbeeld van een waarschuwing in Microsoft Defender voor Eindpunt voor een pass-the-ticket-aanval

Uw analisten kunnen ook geavanceerde zoekquery's uitvoeren om indicatoren van compromissen (IOC's) om te draaien of bekend gedrag te zoeken als ze een groep bedreigingsacageurs identificeren.

Hier ziet u een voorbeeld van hoe geavanceerde zoekquery's kunnen worden gebruikt om bekend gedrag van aanvallers te vinden.

Een voorbeeld van een geavanceerde zoekquery.

In Defender voor Eindpunt hebt u toegang tot een realtime monitoring- en analyseservice op expertniveau door Microsoft Threat Experts voor lopende verdachte activiteiten van de actor. U kunt ook samenwerken met experts op aanvraag voor aanvullende inzichten in waarschuwingen en incidenten.

Hier ziet u een voorbeeld van de manier waarop Defender voor Eindpunt gedetailleerde ransomware-activiteiten laat zien.

Voorbeeld van de manier waarop Defender voor Eindpunt gedetailleerde ransomware-activiteiten laat zien.

Defender voor identiteit

U gebruikt Defender voor identiteit om bekende gecompromitteerde accounts te onderzoeken en mogelijk gecompromitteerde accounts in uw organisatie te vinden. Defender for Identity verzendt waarschuwingen voor bekende schadelijke activiteiten die vaak worden gebruikt, zoals DCSync-aanvallen, pogingen voor het uitvoeren van externe code en pass-the-hash-aanvallen. Met Defender for Identity kunt u verdachte activiteiten en accounts aanwijzen om het onderzoek te beperken.

Hier is een voorbeeld van hoe Defender voor identiteit waarschuwingen verzendt voor bekende schadelijke activiteiten met betrekking tot ransomware-aanvallen.

Een voorbeeld van hoe Defender voor identiteit waarschuwingen verzendt voor ransomware-aanvallen

Defender voor cloud-apps

Met Defender voor Cloud-apps (voorheen Bekend als Microsoft Defender voor Cloud-apps) kunnen uw analisten ongebruikelijk gedrag in cloud-apps detecteren om ransomware, gecompromitteerde gebruikers of malafide toepassingen te identificeren. Defender for Cloud Apps is de CASB-oplossing (Cloud Access Security Broker) van Microsoft waarmee gebruikers cloudservices en gegevenstoegang in cloudservices kunnen controleren.

Hier ziet u een voorbeeld van het dashboard Defender voor cloud-apps, waarmee analyse ongebruikelijk gedrag in cloud-apps kan detecteren.

een voorbeeld van het dashboard Defender voor cloud-apps.

Microsoft Secure Score

De set Microsoft 365 Defender services biedt aanbevelingen voor live herstel om het oppervlak van de aanval te beperken. Microsoft Secure Score is een meting van de beveiligingsstatus van een organisatie, waarbij een hoger aantal aangeeft dat er meer verbeteracties zijn uitgevoerd. Bekijk de documentatie over secure score voor meer informatie over hoe uw organisatie deze functie kan gebruiken om prioriteit te geven aan herstelacties die zijn gebaseerd op hun omgeving.

De DART-benadering voor het uitvoeren van onderzoeken naar ransomware-incidenten

U moet er alles aan doen om te bepalen hoe de wederpartij toegang heeft gekregen tot uw activa, zodat beveiligingsproblemen kunnen worden ver verhelpen. Anders is het zeer waarschijnlijk dat hetzelfde type aanval in de toekomst opnieuw zal plaatsvinden. In sommige gevallen neemt de bedreigingsacteur stappen om hun sporen te wissen en bewijs te vernietigen, zodat het mogelijk is dat de hele reeks gebeurtenissen niet duidelijk is.

Hieronder volgen drie belangrijke stappen in onderzoeken naar DART-ransomware:

Stap Doel Eerste vragen
1. De huidige situatie beoordelen Het bereik begrijpen Wat heeft u in eerste instantie op de hoogte gesteld van een ransomware-aanval?

Welke tijd/datum hebt u voor het eerst van het incident geleerd?

Welke logboeken zijn beschikbaar en zijn er aanwijzingen dat de actor momenteel toegang heeft tot systemen?
2. Identificeer de betreffende LOB-apps (Line Of Business) Systemen weer online zetten Is voor de toepassing een identiteit vereist?

Zijn back-ups van de toepassing, configuratie en gegevens beschikbaar?

Worden de inhoud en integriteit van back-ups regelmatig geverifieerd met een hersteloefening?
3. Het proces voor het herstellen van compromissen (CR) bepalen Besturingselement voor aanvallers verwijderen uit de omgeving N/B

Stap 1. De huidige situatie beoordelen

Een beoordeling van de huidige situatie is essentieel voor het begrijpen van het bereik van het incident en voor het bepalen van de beste personen om te helpen en om de onderzoeks- en hersteltaken te plannen en te plannen. Het stellen van de volgende eerste vragen is essentieel om de situatie te helpen bepalen.

Wat heeft u in eerste instantie op de hoogte gesteld van de ransomware-aanval?

Als de eerste bedreiging is geïdentificeerd door IT-personeel, zoals het zien van back-ups die worden verwijderd, antiviruswaarschuwingen, eindpuntdetectie en -respons-waarschuwingen (EDR) of verdachte systeemwijzigingen, is het vaak mogelijk om snelle, doorslaggevende maatregelen te nemen om de aanval te dwarsbomen, meestal door alle binnenkomende en uitgaande internetcommunicatie uit te stellen. Dit kan tijdelijk van invloed zijn op bedrijfsactiviteiten, maar dat is meestal veel minder van invloed dan een tegenpartij die ransomware implementeert.

Als de bedreiging is geïdentificeerd door een gebruikersoproep naar de IT-helpdesk, kan er vooraf voldoende waarschuwing zijn om defensieve maatregelen te nemen om de effecten van de aanval te voorkomen of te minimaliseren. Als de bedreiging is geïdentificeerd door een externe entiteit (zoals rechtshandhaving of een financiële instelling), is de schade waarschijnlijk al aangericht en ziet u in uw omgeving bewijs dat de bedreigingsacacteur al beheersbeheer over uw netwerk heeft gekregen. Dit kan variëren van ransomware-notities, vergrendelde schermen of losprijseisen.

Welke datum/tijd hebt u voor het eerst van het incident geleerd?

Het is belangrijk om de beginactiviteitsdatum en -tijd vast te stellen, omdat hierdoor het bereik van de eerste triage wordt verkleind voor snelle overwinningen door de aanvaller. Aanvullende vragen kunnen bestaan uit:

  • Welke updates ontbraken op die datum? Dit is belangrijk om te begrijpen welke beveiligingslekken mogelijk door de tegenpartij zijn misbruikt.
  • Welke accounts zijn op die datum gebruikt?
  • Welke nieuwe accounts zijn er sinds die datum gemaakt?

Welke logboeken zijn beschikbaar en zijn er aanwijzingen dat de actor momenteel toegang heeft tot systemen?

Logboeken, zoals antivirus, EDR en vpn(virtual private network) zijn een indicator voor vermoedelijke compromissen. Vervolgvragen kunnen bestaan uit:

  • Worden logboeken samengevoegd in een SIEM-oplossing (Security Information and Event Management), zoals Microsoft Sentinel,Splunk, ArcSight en andere, en huidige? Wat is de bewaarperiode van deze gegevens?
  • Zijn er verdachte gecompromitteerde systemen die ongebruikelijke activiteit ervaren?
  • Zijn er verdachte gecompromitteerde accounts die actief worden gebruikt door de tegenpartij?
  • Zijn er aanwijzingen voor actieve opdracht en besturingselementen (C2's) in EDR, firewall, VPN, webproxy en andere logboeken?

Als onderdeel van het beoordelen van de huidige situatie hebt u mogelijk een AD DS-domeincontroller (Active Directory Domain Services) nodig die niet is gecompromitteerd, een recente back-up van een domeincontroller of een recente domeincontroller die offline is gehaald voor onderhoud of upgrades. Bepaal ook of meervoudige verificatie (MFA) vereist was voor iedereen in het bedrijf en of Azure Active Directory (Azure AD) is gebruikt.

Stap 2. De LOB-apps identificeren die niet beschikbaar zijn vanwege het incident

Deze stap is essentieel voor het vinden van de snelste manier om systemen weer online te krijgen terwijl u het vereiste bewijs verkrijgt.

Is voor de toepassing een identiteit vereist?

  • Hoe wordt verificatie uitgevoerd?
  • Hoe worden referenties zoals certificaten of geheimen opgeslagen en beheerd?

Zijn geteste back-ups van de toepassing, configuratie en gegevens beschikbaar?

Worden de inhoud en integriteit van back-ups regelmatig geverifieerd met een hersteloefening? Dit is met name belangrijk na wijzigingen in configuratiebeheer of versie-upgrades.

Stap 3. Het herstelproces voor compromissen bepalen

Deze stap kan nodig zijn als u hebt vastgesteld dat het besturingsvlak, dat meestal AD DS is, is gecompromitteerd.

Uw onderzoek moet altijd tot doel hebben uitvoer te leveren die rechtstreeks in het CR-proces wordt gefeedt. CR is het proces dat de besturing van de aanvaller uit een omgeving verwijdert en de beveiligingsstatus binnen een bepaalde periode op een tactisch niveau verhoogt. CR vindt plaats na inbreuk op de beveiliging. Lees het CRSP van het Microsoft Compromise Recovery Security Practice-team voor meer informatie over CR: Het team voor noodgevallen dat cyberaanvallen bevechten naast het blogartikel klanten.

Nadat u de antwoorden op de bovenstaande vragen hebt verzameld, kunt u een lijst met taken maken en eigenaren toewijzen. Een belangrijke factor in een geslaagde incidentresponsafspraak is een grondige, gedetailleerde documentatie van elk werkitem (zoals de eigenaar, status, bevindingen, datum en tijd), waardoor het opstellen van bevindingen aan het einde van de afspraak een eenvoudig proces is.

DART-aanbevelingen en aanbevolen procedures

Hier volgen de aanbevelingen en aanbevolen procedures van DART voor insluitings- en post-incidentactiviteiten.

Insluiting

Insluiting kan alleen plaatsvinden nadat de analyse heeft bepaald wat er moet worden opgenomen. In het geval van ransomware is het doel van de aanvaller het verkrijgen van referenties waarmee beheercontrole over een zeer beschikbare server kan worden uitgevoerd en vervolgens de ransomware wordt geïmplementeerd. In sommige gevallen identificeert de bedreigingsacteur gevoelige gegevens en verhandelt deze naar een locatie die ze controleren.

Tactisch herstel is uniek voor de omgeving, de industrie en het niveau van IT-expertise en -ervaring van uw organisatie. De onderstaande stappen worden aanbevolen voor korte en tactische insluitingsstappen die uw organisatie kan nemen. Zie Geprivilegieerde toegang beveiligen voor meer informatie over langetermijnvoorlichting. Zie Door mensen beheerde ransomware voor een uitgebreide weergave van ransomware en afpersing en het voorbereiden en beschermen van uw organisatie.

Deze insluitingsstappen kunnen gelijktijdig worden uitgevoerd wanneer nieuwe bedreigingsvectoren worden ontdekt:

  • Stap 1: het bereik van de situatie beoordelen

    • Welke gebruikersaccounts zijn gecompromitteerd?

    • Welke apparaten worden beïnvloed?

    • Welke toepassingen worden beïnvloed?

  • Stap 2: Bestaande systemen behouden

    • Schakel alle bevoorrechte gebruikersaccounts uit, met uitzondering van een klein aantal accounts dat door uw beheerders wordt gebruikt om de integriteit van uw AD DS-infrastructuur opnieuw in te stellen. Als wordt aangenomen dat een gebruikersaccount is gehackt, schakelt u dit onmiddellijk uit.

    • Isoleert gecompromitteerde systemen van het netwerk, maar sluit ze niet uit.

    • Isoleert ten minste één bekende goede domeincontroller in elk domein, twee is nog beter. U kunt de verbinding met het netwerk verbreken of ze volledig afsluiten. Het doel hier is om de verspreiding van ransomware naar kritieke systemen te stoppen, omdat identiteit een van de kwetsbaarste systemen is. Als al uw domeincontrollers virtueel zijn, moet u ervoor zorgen dat het systeem en de gegevensstations van het virtualisatieplatform worden geback-upt naar offline externe media die niet met het netwerk zijn verbonden, voor het geval het virtualisatieplatform zelf wordt gecompromitteerd.

    • Kritieke bekende goede toepassingsservers isoleren, bijvoorbeeld SAP- en CMDB-database (Configuration Management Database), facturerings- en boekhoudsystemen.

Deze twee stappen kunnen gelijktijdig worden uitgevoerd wanneer er nieuwe bedreigingsvectoren worden ontdekt. Schakel deze bedreigingsvectoren uit en probeer een bekend goed systeem te vinden om het netwerk te isoleren.

Andere tactische insluitingsacties kunnen zijn:

  • Stel het krbtgt-wachtwoord tweemaalsnel achter elkaar opnieuw in. Overweeg om een script te gebruiken, herhaalbaar proces. Met dit script kunt u het wachtwoord van het krbtgt-account en de bijbehorende sleutels opnieuw instellen, terwijl de kans op Kerberos-verificatieproblemen door de bewerking wordt geminimimeerd. Als u potentiële problemen wilt minimaliseren, kan de levensduur van de krbtgt een of meer keer vóór de eerste wachtwoordreset worden verminderd, zodat de twee resets snel worden uitgevoerd. Alle domeincontrollers die u in uw omgeving wilt bewaren, moeten online zijn.

  • Implementeer een groepsbeleid voor het hele domein(en) dat bevoorrechte aanmelding (Domeinbeheerders) voorkomt op alles behalve domeincontrollers en bevoorrechte beheerderswerkstations (indien aanwezig).

  • Installeer alle ontbrekende beveiligingsupdates voor besturingssystemen en toepassingen. Elke ontbrekende update is een potentiële bedreigingsvector die door tegenstanders snel kan worden identificeren en misbruiken. Microsoft Defender for Endpoint's Threat and Vulnerability Management biedt een eenvoudige manier om precies te zien wat er ontbreekt, evenals de mogelijke impact van de ontbrekende updates.

  • Controleer of elke externe toepassing, inclusief VPN-toegang, is beveiligd met meervoudige verificatie, bij voorkeur met behulp van een verificatietoepassing die wordt uitgevoerd op een beveiligd apparaat.

  • Voor apparaten die Defender voor Endpoint niet als primaire antivirussoftware gebruiken, kunt u een volledige scan uitvoeren met Microsoft-beveiligingsscanner op geïsoleerde bekende goede systemen voordat u ze opnieuw verbinding maakt met het netwerk.

  • Upgrade voor oudere besturingssystemen naar een ondersteund besturingssysteem of ontmantel deze apparaten. Als deze opties niet beschikbaar zijn, moet u alle mogelijke maatregelen nemen om deze apparaten te isoleren, inclusief netwerk-/VLAN-isolatie, IPsec-regels (Internet Protocol Security) en aanmeldingsbeperkingen, zodat ze alleen toegankelijk zijn voor de toepassingen van de gebruikers/apparaten om bedrijfscontinuïteit te bieden.

De meest risicovolle configuraties bestaan uit het uitvoeren van bedrijfskritische systemen op oudere besturingssystemen Windows NT 4.0 en toepassingen, allemaal op oudere hardware. Niet alleen zijn deze besturingssystemen en toepassingen onveilig en kwetsbaar, als deze hardware mislukt, kunnen back-ups meestal niet worden hersteld op moderne hardware. Tenzij vervangende oudere hardware beschikbaar is, werken deze toepassingen niet meer. Overweeg sterk om deze toepassingen te converteren naar huidige besturingssystemen en hardware.

Activiteiten na incident

DART raadt aan de volgende beveiligingsaanbevelingen en aanbevolen procedures na elk incident te implementeren.

  • Zorg ervoor dat er best practices zijn voor e-mail- en samenwerkingsoplossingen, zodat aanvallers ze moeilijker kunnen misbruiken, terwijl interne gebruikers eenvoudig en veilig toegang hebben tot externe inhoud.

  • Volg Zero Trust-beveiligingsbepraktijken voor oplossingen voor externe toegang tot interne organisatiebronnen.

  • Begin met beheerders van kritieke gevolgen: volg best practices voor accountbeveiliging, waaronder het gebruik van wachtwoordloze verificatie of MFA.

  • Implementeert een uitgebreide strategie om het risico van geprivilegieerde toegangscompromitteerdheid te beperken.

  • Implementeert gegevensbescherming om ransomware-technieken te blokkeren en om snel en betrouwbaar herstel van een aanval te bevestigen.

  • Controleer uw kritieke systemen. Controleer op beveiliging en back-ups tegen opzettelijke wissen of versleuteling van aanvallers. Het is belangrijk dat u deze back-ups regelmatig test en valideert.

  • Zorg voor snelle detectie en herstel van veelvoorkomende aanvallen op eindpunten, e-mail en identiteit.

  • Ontdek de beveiliging van uw omgeving actief en verbeter deze voortdurend.

  • Werk organisatieprocessen bij om belangrijke ransomware-gebeurtenissen te beheren en stroomlijn outsourcen om wrijving te voorkomen.

PAM

Als u het PAM (voorheen bekend als het gelaagde beheermodel) gebruikt, wordt de beveiliging van Azure AD verbeterd. Het gaat hierbij om:

  • Beheerdersaccounts in een 'geplande' omgeving opmaken: één account voor elk niveau, meestal vier:

  • Control Plane (voorheen Laag 0): beheer van domeincontrollers en andere essentiële identiteitsservices, zoals Active Directory Federation Services (ADFS) of Azure AD Verbinding maken. Dit geldt ook voor servertoepassingen waarvoor beheerdersmachtigingen voor AD DS zijn vereist, zoals Exchange Server.

  • De volgende twee vliegtuigen waren voorheen Laag 1:

    • Management Plane: Asset management, monitoring en security.

    • Data/Workload Plane: Toepassingen en toepassingsservers.

  • De volgende twee vliegtuigen waren voorheen Laag 2:

    • Gebruikerstoegang: Toegangsrechten voor gebruikers (zoals accounts).

    • App Access: Access-rechten voor toepassingen.

  • Elk van deze vliegtuigen heeft een afzonderlijk beheerwerkstation voor elk vliegtuig en heeft alleen toegang tot systemen in dat vliegtuig. Andere accounts van andere vliegtuigen krijgen geen toegang tot werkstations en servers in de andere vliegtuigen via toewijzingen voor gebruikersrechten die zijn ingesteld op die machines.

Het nettoresultaat van de PAM is dat:

  • Een gekromd gebruikersaccount heeft alleen toegang tot het vliegtuig waarvan het deel is.

  • Gevoeligere gebruikersaccounts melden zich niet aan bij werkstations en servers met het beveiligingsniveau van een lager niveau, waardoor de zijbeweging wordt verkleind.

LAPS

Standaard hebben Microsoft Windows en AD DS geen centraal beheer van lokale beheeraccounts op werkstations en lidservers. Dit resulteert meestal in een gemeenschappelijk wachtwoord dat wordt gegeven voor al deze lokale accounts, of op zijn minst in groepen machines. Hierdoor kunnen kwaadwillenden één lokaal beheerdersaccount compromitteerden en vervolgens dat account gebruiken om toegang te krijgen tot andere werkstations of servers in de organisatie.

De LAPS van Microsoft beperkt dit door een groepsbeleidsextensie te gebruiken die het lokale beheerderswachtwoord regelmatig wijzigt op werkstations en servers op basis van de beleidsset. Elk van deze wachtwoorden is anders en wordt opgeslagen als een kenmerk in het AD DS-computerobject. Dit kenmerk kan worden opgehaald uit een eenvoudige clienttoepassing, afhankelijk van de machtigingen die aan dat kenmerk zijn toegewezen.

Voor LAPS moet het AD DS-schema worden uitgebreid zodat het extra kenmerk, de LAPS-groepsbeleidssjablonen en een kleine clientextensie op elk werkstation en elke lidserver worden geïnstalleerd om de functionaliteit aan de clientzijde te bieden.

U kunt LAPS downloaden vanuit het Microsoft Downloadcentrum.

Playbooks voor incidentreacties

Bekijk de richtlijnen voor het identificeren en onderzoeken van deze typen aanvallen:

Resources voor incidentrespons