Microsoft DART ransomware aanpak en best practices

Human-operated ransomware is geen schadelijk softwareprobleem- het is een menselijk crimineel probleem. De oplossingen die worden gebruikt om grondstoffenproblemen aan te pakken, zijn niet voldoende om een bedreiging te voorkomen die nauwer lijkt op een bedreigingsacteur van de natie die:

  • Hiermee schakelt u uw antivirussoftware uit of verwijdert u deze voordat u bestanden versleutelt
  • Schakelt beveiligingsservices en logboekregistratie uit om detectie te voorkomen
  • Zoekt en beschadigd of verwijdert back-ups voordat een losgeldvraag wordt verzonden

Deze acties worden meestal uitgevoerd met legitieme programma's die u mogelijk al in uw omgeving hebt voor administratieve doeleinden. In criminele handen worden deze hulpprogramma's kwaadwillend gebruikt om aanvallen uit te voeren.

Reageren op de toenemende dreiging van ransomware vereist een combinatie van moderne bedrijfsconfiguratie, up-to-date beveiligingsproducten en de bewaking van getraind beveiligingspersoneel om de bedreigingen te detecteren en erop te reageren voordat gegevens verloren gaan.

Het Microsoft Detection and Response Team (DART) reageert op beveiligingscompromitts om klanten te helpen cybertolerant te worden. DART biedt on-site reactieve incidentrespons en extern proactief onderzoek. DART maakt gebruik van de strategische partnerschappen van Microsoft met beveiligingsorganisaties over de hele wereld en interne Microsoft-productgroepen om het meest complete en grondig onderzoek mogelijk te maken.

In dit artikel wordt beschreven hoe DART ransomware-aanvallen voor Microsoft-klanten afhandelt, zodat u kunt overwegen elementen van hun aanpak en best practices toe te passen voor uw eigen playbook voor beveiligingsbewerkingen.

Zie deze secties voor meer informatie:

Notitie

Deze artikelinhoud is afgeleid van de A guide to combating human-operated ransomware: Part 1 and A guide to combating human-operated ransomware: Part 2 Microsoft Security team blog posts.

Hoe DART gebruikmaakt van Microsoft-beveiligingsservices

DART is sterk afhankelijk van gegevens voor alle onderzoeken en maakt gebruik van bestaande implementaties van Microsoft-beveiligingsservices zoals Microsoft Defender voor Office 365, Microsoft Defender voor Eindpunt, Microsoft Defender for Identity en Microsoft Defender for Cloud Apps.

Defender voor Eindpunt​

Defender for Endpoint is het Enterprise Endpoint Security-platform van Microsoft dat is ontworpen om bedrijfsnetwerkbeveiligingsanalisten te helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Defender voor Eindpunt kan aanvallen detecteren met behulp van geavanceerde gedragsanalyses en machine learning. Uw analisten kunnen Defender voor Eindpunt gebruiken voor gedragsanalyses van aanvallers.

Hier volgt een voorbeeld van een waarschuwing in Microsoft Defender voor Eindpunt voor een pass-the-ticket-aanval.

Example of an alert in Microsoft Defender for Endpoint for a pass-the-ticket attack

Uw analisten kunnen ook geavanceerde opsporingsquery's uitvoeren om indicatoren van inbreuk (IOC's) te draaien of om bekend gedrag te zoeken als ze een bedreigingsacteurgroep identificeren.

Hier volgt een voorbeeld van hoe geavanceerde opsporingsquery's kunnen worden gebruikt om bekend aanvallergedrag te vinden.

An example of an advanced hunting query.

In Defender voor Eindpunt hebt u toegang tot een realtime bewakings- en analyseservice op expertniveau van Microsoft Threat Experts voor doorlopende verdachte actoractiviteiten. U kunt ook samenwerken met experts op aanvraag voor extra inzichten in waarschuwingen en incidenten.

Hier volgt een voorbeeld van hoe Defender voor Eindpunt gedetailleerde ransomware-activiteit laat zien.

Example of how Defender for Endpoint shows detailed ransomware activity.

Defender for Identity

U gebruikt Defender for Identity om bekende gecompromitteerde accounts te onderzoeken en mogelijk gecompromitteerde accounts in uw organisatie te vinden. Defender for Identity verzendt waarschuwingen voor bekende schadelijke activiteiten die actoren vaak gebruiken, zoals DCSync-aanvallen, pogingen tot uitvoering van externe code en pass-the-hash-aanvallen. Met Defender for Identity kunt u verdachte activiteiten en accounts aanwijzen om het onderzoek te beperken.

Hier volgt een voorbeeld van hoe Defender for Identity waarschuwingen verzendt voor bekende schadelijke activiteiten met betrekking tot ransomware-aanvallen.

An example of how Defender for Identity sends alerts for ransomware attacks

Defender voor Cloud Apps

Met Defender voor Cloud Apps (voorheen bekend als Microsoft Defender voor Cloud Apps) kunnen uw analisten ongebruikelijk gedrag in cloud-apps detecteren om ransomware, aangetaste gebruikers of malafide toepassingen te identificeren. Defender for Cloud Apps is de CASB-oplossing (Cloud Access Security Broker) van Microsoft waarmee cloudservices en gegevenstoegang kunnen worden bewaakt in cloudservices door gebruikers.

Hier volgt een voorbeeld van het Defender for Cloud Apps-dashboard, waarmee analyse ongebruikelijk gedrag in cloud-apps kan detecteren.

an example of the Defender for Cloud Apps dashboard.

Microsoft-beveiligingsscore

De set Microsoft 365 Defender-services biedt live herstelaanbeveling om het kwetsbaarheid voor aanvallen te verminderen. Microsoft Secure Score is een meting van het beveiligingspostuur van een organisatie, met een hoger aantal dat aangeeft dat er meer verbeteringsacties zijn ondernomen. Zie de beveiligingsscoredocumentatie voor meer informatie over hoe uw organisatie deze functie kan gebruiken om prioriteit te geven aan herstelacties die zijn gebaseerd op hun omgeving.

De DART-benadering voor het uitvoeren van onderzoek naar ransomware-incidenten

U moet alles in het werk stellen om te bepalen hoe de kwaadwillende persoon toegang heeft verkregen tot uw assets, zodat beveiligingsproblemen kunnen worden hersteld. Anders is het zeer waarschijnlijk dat hetzelfde type aanval in de toekomst opnieuw zal plaatsvinden. In sommige gevallen neemt de bedreigingsacteur stappen om hun sporen te dekken en bewijs te vernietigen, zodat het mogelijk is dat de hele keten van gebeurtenissen niet duidelijk is.

Hieronder volgen drie belangrijke stappen in DART ransomware onderzoeken:

Stap Doel Eerste vragen
1. De huidige situatie beoordelen Inzicht in het bereik Wat maakte je in eerste instantie op de hoogte van een ransomware-aanval?

Hoe laat/datum hebt u het incident voor het eerst geleerd?

Welke logboeken zijn beschikbaar en is er een indicatie dat de actor momenteel toegang heeft tot systemen?
2. De betrokken LOB-apps (Line-Of-Business) identificeren Systemen weer online krijgen Vereist de toepassing een identiteit?

Zijn back-ups van de toepassing, configuratie en gegevens beschikbaar?

Worden de inhoud en integriteit van back-ups regelmatig gecontroleerd met behulp van een hersteloefening?
3. Bepaal het cr-proces (compromise recovery) De controle van aanvallers uit de omgeving verwijderen N.v.t.

Stap 1. De huidige situatie beoordelen

Een evaluatie van de huidige situatie is essentieel voor het begrijpen van het bereik van het incident en voor het bepalen van de beste mensen om te helpen en het bereik van de onderzoeks- en hersteltaken te bepalen. Het stellen van de volgende eerste vragen is van cruciaal belang bij het bepalen van de situatie.

Wat maakte je in eerste instantie op de hoogte van de ransomware-aanval?

Als de eerste bedreiging is geïdentificeerd door IT-medewerkers, zoals het detecteren van back-ups die worden verwijderd, antiviruswaarschuwingen, EDR-waarschuwingen (Endpoint Detection and Response) of verdachte systeemwijzigingen, is het vaak mogelijk om snelle beslissende maatregelen te nemen om de aanval te voorkomen, meestal door alle inkomende en uitgaande internetcommunicatie uit te schakelen. Dit kan tijdelijk van invloed zijn op bedrijfsactiviteiten, maar dat zou meestal veel minder impact hebben dan een kwaadwillende implementatie van ransomware.

Als de bedreiging is geïdentificeerd door een gebruiker die de IT-helpdesk belt, kan er voldoende waarschuwing vooraf zijn om defensieve maatregelen te nemen om de gevolgen van de aanval te voorkomen of te minimaliseren. Als de bedreiging is geïdentificeerd door een externe entiteit (zoals wetshandhaving of een financiële instelling), is het waarschijnlijk dat de schade al wordt uitgevoerd en ziet u bewijs in uw omgeving dat de bedreigingsacteur al administratieve controle over uw netwerk heeft verkregen. Dit kan variëren van ransomware notities, vergrendelde schermen of losgeld eisen.

Welke datum/tijd hebt u voor het eerst geleerd van het incident?

Het tot stand brengen van de initiële activiteitsdatum en -tijd is belangrijk omdat het helpt het bereik van de eerste triage te beperken voor snelle overwinningen door de aanvaller. Aanvullende vragen kunnen zijn:

  • Welke updates ontbreken op die datum? Dit is belangrijk om te begrijpen welke beveiligingsproblemen mogelijk zijn misbruikt door de aanvaller.
  • Welke accounts zijn op die datum gebruikt?
  • Welke nieuwe accounts zijn er sinds die datum gemaakt?

Welke logboeken zijn beschikbaar en is er een indicatie dat de actor momenteel toegang heeft tot systemen?

Logboeken, zoals antivirussoftware, EDR en VPN (Virtual Private Network), zijn een indicatie van verdachte inbreuk. Vervolgvragen kunnen zijn:

  • Worden logboeken samengevoegd in een SIEM-oplossing (Security Information and Event Management), zoals Microsoft Sentinel, Splunk, ArcSight en andere, en actueel? Wat is de bewaarperiode van deze gegevens?
  • Zijn er verdachte verdachte systemen die ongebruikelijke activiteiten ondervinden?
  • Zijn er verdachte verdachte accounts die actief worden gebruikt door de aanvaller?
  • Is er bewijs van actieve opdrachten en besturingselementen (C2's) in EDR, firewall, VPN, webproxy en andere logboeken?

Als onderdeel van het beoordelen van de huidige situatie hebt u mogelijk een AD DS-domeincontroller (Active Directory Domain Services) nodig die niet is aangetast, een recente back-up van een domeincontroller of een recente domeincontroller die offline is gehaald voor onderhoud of upgrades. Bepaal ook of meervoudige verificatie (MFA) vereist was voor iedereen in het bedrijf en of Azure Active Directory (Azure AD) is gebruikt.

Stap 2. De LOB-apps identificeren die niet beschikbaar zijn vanwege het incident

Deze stap is van cruciaal belang bij het bepalen van de snelste manier om systemen weer online te krijgen tijdens het verkrijgen van het vereiste bewijs.

Vereist de toepassing een identiteit?

  • Hoe wordt verificatie uitgevoerd?
  • Hoe worden referenties zoals certificaten of geheimen opgeslagen en beheerd?

Zijn geteste back-ups van de toepassing, configuratie en gegevens beschikbaar?

  • Worden de inhoud en integriteit van back-ups regelmatig gecontroleerd met behulp van een hersteloefening? Dit is met name belangrijk na wijzigingen in configuratiebeheer of versie-upgrades.

Stap 3. Het herstelproces voor inbreuk bepalen

Deze stap kan nodig zijn als u hebt vastgesteld dat het besturingsvlak, meestal AD DS, is aangetast.

Uw onderzoek moet altijd een doel hebben om uitvoer op te geven die rechtstreeks in het CR-proces wordt ingevoerd. CR is het proces waarmee aanvallercontrole uit een omgeving wordt verwijderd en de beveiligingspostuur binnen een bepaalde periode tactisch wordt verhoogd. CR vindt plaats na beveiligingsschending. Lees de CRSP van het Microsoft Compromise Recovery Security Practice-team voor meer informatie over CR : Het noodteam dat cyberaanvallen vecht naast het blogartikel van klanten.

Zodra u de antwoorden op de bovenstaande vragen hebt verzameld, kunt u een lijst met taken maken en eigenaren toewijzen. Een belangrijke factor in een geslaagde incidentrespons is grondige, gedetailleerde documentatie van elk werkitem (zoals de eigenaar, status, bevindingen, datum en tijd), waardoor de compilatie van bevindingen aan het einde van de afspraak een eenvoudig proces is.

DART-aanbevelingen en best practices

Hier volgen de aanbevelingen en best practices van DART voor insluitings- en incidentactiviteiten.

Containment

Insluiting kan slechts plaatsvinden zodra de analyse heeft bepaald wat er moet worden opgenomen. In het geval van ransomware is het doel van de aanvaller om referenties te verkrijgen die administratieve controle over een maximaal beschikbare server toestaan en vervolgens de ransomware implementeren. In sommige gevallen identificeert de bedreigingsacteur gevoelige gegevens en exfiltreert deze naar een locatie die ze beheren.

Tactisch herstel is uniek voor de omgeving, industrie en mate van IT-expertise en ervaring van uw organisatie. De onderstaande stappen worden aanbevolen voor korte en tactische insluitingsstappen die uw organisatie kan uitvoeren. Zie het beveiligen van bevoegde toegang voor meer informatie over langetermijnrichtlijnen. Voor een uitgebreid overzicht van ransomware en afpersing en hoe u uw organisatie voorbereidt en beschermt, raadpleegt u door mensen beheerde ransomware.

De volgende insluitingsstappen kunnen gelijktijdig worden uitgevoerd wanneer er nieuwe bedreigingsvectoren worden gedetecteerd.

Stap 1: Het bereik van de situatie beoordelen

  • Welke gebruikersaccounts zijn gecompromitteerd?
  • Welke apparaten worden beïnvloed?
  • Welke toepassingen worden beïnvloed?

Stap 2: Bestaande systemen behouden

  • Schakel alle bevoegde gebruikersaccounts uit, met uitzondering van een klein aantal accounts dat door uw beheerders wordt gebruikt om te helpen bij het opnieuw instellen van de integriteit van uw AD DS-infrastructuur. Als een gebruikersaccount wordt verondersteld te worden gecompromitteerd, schakelt u dit onmiddellijk uit.
  • Isoleer aangetaste systemen van het netwerk, maar sluit ze niet uit.
  • Isoleer ten minste één bekende goede domeincontroller in elk domein: twee zijn nog beter. Verbreek de verbinding met het netwerk of sluit ze volledig af. Het object hier is om de verspreiding van ransomware naar kritieke systemen te stoppen - identiteit is een van de meest kwetsbare. Als al uw domeincontrollers virtueel zijn, moet u ervoor zorgen dat het systeem en de gegevensstations van het virtualisatieplatform worden geback-upt naar offline externe media die niet zijn verbonden met het netwerk, voor het geval het virtualisatieplatform zelf wordt aangetast.
  • Isoleer kritieke bekende goede toepassingsservers, bijvoorbeeld SAP, configuratiebeheerdatabase (CMDB), facturerings- en boekhoudsystemen.

Deze twee stappen kunnen gelijktijdig worden uitgevoerd wanneer er nieuwe bedreigingsvectoren worden gedetecteerd. Schakel deze bedreigingsvectoren uit en probeer vervolgens een bekend goed systeem te vinden om te isoleren van het netwerk.

Andere tactische insluitingsacties kunnen zijn:

  • Stel het krbtgt-wachtwoord twee keer achter elkaar opnieuw in. Overweeg een gescript, herhaalbaar proces te gebruiken. Met dit script kunt u het wachtwoord van het krbtgt-account en de gerelateerde sleutels opnieuw instellen, terwijl de kans op Kerberos-verificatieproblemen die worden veroorzaakt door de bewerking wordt geminimaliseerd. Om potentiële problemen te minimaliseren, kan de levensduur van krbtgt een of meer keren worden verkort voordat het eerste wachtwoord opnieuw wordt ingesteld, zodat de twee resets snel worden uitgevoerd. Houd er rekening mee dat alle domeincontrollers die u in uw omgeving wilt bewaren, online moeten zijn.

  • Implementeer een groepsbeleid in de hele domeinen die voorkomt dat bevoegde aanmeldingen (domeinadministrators) worden toegepast op alle domeincontrollers en bevoegde werkstations met beheerdersrechten (indien van toepassing).

  • Installeer alle ontbrekende beveiligingsupdates voor besturingssystemen en toepassingen. Elke ontbrekende update is een mogelijke bedreigingsvector die kwaadwillende personen snel kunnen identificeren en misbruiken. Het bedreigings- en beveiligingsbeheer van Microsoft Defender voor Eindpunt biedt een eenvoudige manier om precies te zien wat er ontbreekt, evenals de mogelijke gevolgen van de ontbrekende updates.

  • Controleer of elke externe toepassing, inclusief VPN-toegang, wordt beveiligd door meervoudige verificatie, bij voorkeur met behulp van een verificatietoepassing die wordt uitgevoerd op een beveiligd apparaat.

  • Voor apparaten die Defender voor Eindpunt niet gebruiken als primaire antivirussoftware, voert u een volledige scan uit met Microsoft Safety Scanner op geïsoleerde goede systemen voordat u ze opnieuw verbindt met het netwerk.

  • Voer voor oudere besturingssystemen een upgrade uit naar een ondersteund besturingssysteem of stel deze apparaten buiten gebruik. Als deze opties niet beschikbaar zijn, moet u alle mogelijke maatregelen nemen om deze apparaten te isoleren, waaronder netwerk-/VLAN-isolatie, IPsec-regels (Internet Protocol Security) en aanmeldingsbeperkingen, zodat ze alleen toegankelijk zijn voor de toepassingen door de gebruikers/apparaten om bedrijfscontinuïteit te bieden.

De meest riskante configuraties bestaan uit het uitvoeren van bedrijfskritieke systemen op verouderde besturingssystemen als Windows NT 4.0 en toepassingen, allemaal op verouderde hardware. Niet alleen zijn deze besturingssystemen en toepassingen onveilig en kwetsbaar, als die hardware uitvalt, kunnen back-ups meestal niet worden hersteld op moderne hardware. Tenzij er vervanging van verouderde hardware beschikbaar is, werken deze toepassingen niet meer. Overweeg deze toepassingen sterk te converteren om te worden uitgevoerd op huidige besturingssystemen en hardware.

Activiteiten na incidenten

DART raadt aan de volgende beveiligingsaanbevelingen en best practices na elk incident te implementeren.

  • Zorg ervoor dat er best practices zijn voor oplossingen voor e-mail en samenwerking , zodat aanvallers deze lastiger kunnen misbruiken, terwijl interne gebruikers eenvoudig en veilig toegang hebben tot externe inhoud.

  • Volg de best practices voor zero Trust-beveiliging voor externe toegangsoplossingen voor interne organisatieresources.

  • Begin met beheerders van kritieke gevolgen en volg de aanbevolen procedures voor accountbeveiliging, waaronder het gebruik van verificatie zonder wachtwoord of MFA.

  • Implementeer een uitgebreide strategie om het risico op inbreuk op bevoegde toegang te verminderen.

  • Implementeer gegevensbeveiliging om ransomwaretechnieken te blokkeren en snelle en betrouwbare herstel na een aanval te bevestigen.

  • Controleer uw kritieke systemen. Controleer op beveiliging en back-ups tegen opzettelijke verwijdering of versleuteling van aanvallers. Het is belangrijk dat u deze back-ups periodiek test en valideert.

  • Zorg voor snelle detectie en herstel van veelvoorkomende aanvallen op eindpunt, e-mail en identiteit.

  • Het beveiligingspostuur van uw omgeving actief ontdekken en continu verbeteren.

  • Werk organisatieprocessen bij om belangrijke ransomware-gebeurtenissen te beheren en uitbesteding te stroomlijnen om wrijving te voorkomen.

PAM

Het gebruik van de PAM (voorheen bekend als het gelaagde beheermodel) verbetert het beveiligingspostuur van Azure AD. Dit omvat:

  • Beheerdersaccounts uitbreken in een 'geplande' omgeving: één account voor elk niveau, meestal vier:

  • Besturingsvlak (voorheen Laag 0): Beheer van domeincontrollers en andere cruciale identiteitsservices, zoals Active Directory Federation Services (ADFS) of Azure AD Connect. Dit omvat ook servertoepassingen waarvoor beheerdersmachtigingen zijn vereist voor AD DS, zoals Exchange Server.

  • De volgende twee vliegtuigen waren voorheen Tier 1:

    • Beheervlak: Assetbeheer, bewaking en beveiliging.

    • Gegevens-/workloadvlak: toepassingen en toepassingsservers.

  • De volgende twee vliegtuigen waren voorheen Tier 2:

    • Gebruikerstoegang: toegangsrechten voor gebruikers (zoals accounts).

    • App-toegang: toegangsrechten voor toepassingen.

  • Elk van deze vlakken heeft een afzonderlijk beheerwerkstation voor elk vliegtuig en heeft alleen toegang tot systemen in dat vlak. Andere accounts van andere vliegtuigen worden de toegang tot werkstations en servers in de andere vlakken geweigerd via toewijzingen van gebruikersrechten die zijn ingesteld op die computers.

Het nettoresultaat van de PAM is dat:

  • Een aangetast gebruikersaccount heeft alleen toegang tot het vliegtuig waartoe het behoort.

  • Gevoeligere gebruikersaccounts worden niet aangemeld bij werkstations en servers met een lager beveiligingsniveau, waardoor zijwaartse verplaatsing wordt verminderd.

RONDEN

Microsoft Windows en AD DS hebben standaard geen gecentraliseerd beheer van lokale beheerdersaccounts op werkstations en lidservers. Dit resulteert meestal in een gemeenschappelijk wachtwoord dat wordt gegeven voor al deze lokale accounts, of op zijn minst in groepen computers. Hierdoor kunnen aanvallers inbreuk maken op één lokaal beheerdersaccount en dat account vervolgens gebruiken om toegang te krijgen tot andere werkstations of servers in de organisatie.

De LAPS van Microsoft beperkt dit met behulp van een extensie aan de clientzijde van groepsbeleid die het lokale beheerderswachtwoord regelmatig wijzigt op werkstations en servers volgens de beleidsset. Elk van deze wachtwoorden is verschillend en opgeslagen als een kenmerk in het AD DS-computerobject. Dit kenmerk kan worden opgehaald uit een eenvoudige clienttoepassing, afhankelijk van de machtigingen die aan dat kenmerk zijn toegewezen.

LAPS vereist dat het AD DS-schema wordt uitgebreid om het extra kenmerk, de LAPS-groepsbeleidssjablonen te installeren en een kleine extensie aan de clientzijde te installeren op elk werkstation en lidserver om de functionaliteit aan de clientzijde te bieden.

U kunt LAPS downloaden via het Microsoft Downloadcentrum.

Playbooks voor reactie op incidenten

Bekijk richtlijnen voor het identificeren en onderzoeken van deze typen aanvallen:

Resources voor incidentrespons

Aanvullende ransomware-resources

Belangrijke informatie van Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender voor Cloud Apps:

Blogberichten van het Microsoft Security-team: