Обнаружение атак программ-шантажистов, управляемых человеком, с помощью Microsoft Defender XDR
Примечание.
Хотите испытать Microsoft Defender XDR? Узнайте больше о том, как оценивать и пилотно Microsoft Defender XDR.
Программа-шантажист — это тип атаки вымогательства, которая уничтожает или шифрует файлы и папки, предотвращая доступ к критически важным данным или нарушая критически важные бизнес-системы. Существует два типа программ-шантажистов:
- Товарная программа-шантажист — это вредоносная программа, которая распространяется с помощью фишинга или между устройствами и шифрует файлы перед требованием выкупа.
- Управляемые человеком программы-шантажисты — это плановая и скоординированная атака активных киберпреступников, которые используют несколько методов атаки. Во многих случаях известные методы и средства используются для того, чтобы проникнуть в вашу организацию, найти ресурсы или системы, которые стоит вымогательство, а затем потребовать выкуп. После компрометации сети злоумышленник выполняет разведку активов и систем, которые могут быть зашифрованы или вымогательство. Затем злоумышленники шифруют или эксфильтруют данные, прежде чем требовать выкуп.
В этой статье описывается упреждающее обнаружение новых или продолжающихся атак программ-шантажистов с помощью портала Microsoft Defender— решения расширенного обнаружения и реагирования (XDR) для следующих служб безопасности:
- Microsoft Defender для конечной точки
- Microsoft Defender для Office 365
- Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps (включая надстройку управления приложениями)
- Защита Microsoft Entra ID
- Microsoft Defender для Интернета вещей
- Microsoft 365 бизнес премиум
- Microsoft Defender для бизнеса
Сведения о предотвращении атак программ-шантажистов см. в статье Быстрое развертывание защиты от программ-шантажистов— этап 3. Усложнение работы.
Важность упреждающего обнаружения
Так как программы-шантажисты, управляемые человеком, обычно выполняются активными злоумышленниками, которые могут выполнять действия, чтобы проникнуть и обнаружить наиболее ценные данные и системы в режиме реального времени, время, затраченное на обнаружение атак с помощью программ-шантажистов, имеет решающее значение.
Если действия перед выкупом обнаруживаются быстро, вероятность серьезной атаки снижается. Этап перед выкупом обычно включает следующие методы: первоначальный доступ, разведка, кража учетных данных, боковое перемещение и сохраняемость. Эти методы изначально могут показаться несвязанными и часто летать под радаром. Если эти методы приводят к этапу выкупа, часто бывает слишком поздно. Microsoft Defender XDR может помочь определить эти небольшие и, казалось бы, несвязанные инциденты как часть более крупной кампании программ-шантажистов.
- При обнаружении на этапе перед выкупом можно использовать небольшие средства защиты, такие как изоляция зараженных устройств или учетных записей пользователей, чтобы нарушить и устранить атаку.
- Если обнаружение происходит на более позднем этапе, например при развертывании вредоносной программы, используемой для шифрования файлов, может потребоваться более агрессивные действия по исправлению, которые могут привести к простою, чтобы нарушить и устранить атаку.
При реагировании на атаку программы-шантажиста возможны сбои бизнес-операций. Конечным этапом атаки с помощью программ-шантажистов часто является выбор между простоем, вызванным злоумышленниками с серьезными рисками, или контролируемым простоем, чтобы обеспечить безопасность сети и дать вам время для полного расследования. Мы никогда не рекомендуем платить выкуп. Оплата киберпреступников за получение ключа расшифровки программы-шантажиста не гарантирует, что зашифрованные данные будут восстановлены. См. статью Ответ на программы-шантажиста — блог о безопасности Майкрософт.
Ниже приведена качественная связь влияния атаки с помощью программы-шантажиста и времени реагирования на отсутствие обнаружения и упреждающее обнаружение и реагирование.
Упреждающее обнаружение с помощью распространенных средств и методов вредоносных программ
Во многих случаях злоумышленники, управляемые человеком, используют хорошо известные и проверенные на местах тактики вредоносных программ, методы, средства и процедуры, включая фишинг, компрометацию электронной почты (BEC) и кражу учетных данных. Аналитики по безопасности должны знать о том, как злоумышленники используют распространенные вредоносные программы и кибератаки, чтобы закрепиться в вашей организации.
Примеры того, как атаки программ-шантажистов начинаются с распространенных вредоносных программ, см. в следующих ресурсах:
- Атаки программ-шантажистов, управляемых человеком: предотвратимая катастрофа
- Отчеты об аналитике угроз программ-шантажистов на портале Microsoft Defender
Знакомство с вредоносными программами, полезными данными и действиями перед выкупом помогает аналитикам узнать, на что следует обратить внимание, чтобы предотвратить более поздние этапы атаки.
Тактика атаки программ-шантажистов, управляемых человеком
Так как программа-шантажист, управляемая человеком, может использовать известные методы и инструменты атаки, понимание и опыт аналитиков с существующими методами и инструментами атаки будет ценным ресурсом при подготовке команды SecOps к методам обнаружения программ-шантажистов.
Тактика и методы атаки
Ниже приведены некоторые типичные методы и средства, используемые злоумышленниками-шантажистами для следующих тактик MITRE ATT&CK :
Начальный доступ:
- Метод подбора RDP
- Уязвимая система с выходом в Интернет
- Слабые параметры приложения
- Фишинговое письмо
Кража учетных данных:
- Мимикатц
- Секреты LSA
- Хранилище учетных данных
- Учетные данные в виде открытого текста
- Злоупотребление учетными записями служб
Боковое смещение:
- Кобальтовая забастовка
- WMI
- Злоупотребление средствами управления
- Psexec
Сохраняемости:
- Новые учетные записи
- Изменения объекта групповой политики
- Теневые ИТ-инструменты
- Планирование задач
- Регистрация службы
Уклонение от обороны:
- Отключение функций безопасности
- Очистка файлов журнала
- Удаление файлов артефактов атак
- Сброс меток времени для измененных файлов
Фильтрации:
- Влияние на кражу конфиденциальных данных (финансовое использование):
- Шифрование данных на месте и в резервных копиях
- Удаление данных на месте и резервных копий, которые могут сочетаться с предыдущей кражей
- Угроза публичной утечки эксфильтрированных конфиденциальных данных
Что искать
Задача аналитиков безопасности заключается в том, чтобы распознать, когда оповещение является частью более крупной цепочки атак с целью вымогательства конфиденциальных данных или критически важных систем. Например, обнаруженная фишинговая атака может быть следующей:
- Разовая атака, чтобы засечь сообщения электронной почты кого-то из финансового отдела организации.
- Часть цепочки атак перед выкупом для использования скомпрометированных учетных данных учетной записи пользователя для обнаружения ресурсов, доступных для учетной записи пользователя, и для компрометации других учетных записей пользователей с более высоким уровнем привилегий и доступа.
В этом разделе приведены общие этапы и методы атак, а также источники сигналов, которые подается на центральном портале Microsoft Defender, который создает оповещения и инциденты, состоящие из нескольких связанных оповещений для анализа безопасности. В некоторых случаях существуют альтернативные порталы безопасности для просмотра данных об атаках.
Начальные атаки для получения входа
Злоумышленник пытается скомпрометировать учетную запись пользователя, устройство или приложение.
| Метод атаки | Источник сигнала | Альтернативные порталы безопасности |
|---|---|---|
| Метод подбора RDP | Defender для конечной точки | Defender for Cloud Apps |
| Уязвимая система с выходом в Интернет | Функции безопасности Windows, Microsoft Defender для серверов | |
| Слабые параметры приложения | Defender for Cloud Apps, Defender for Cloud Apps с надстройкой управления приложениями | Defender for Cloud Apps |
| Действия вредоносных приложений | Defender for Cloud Apps, Defender for Cloud Apps с надстройкой управления приложениями | Defender for Cloud Apps |
| Фишинговое письмо | Defender для Office 365 | |
| Распыление паролей для учетных записей Microsoft Entra | Защита Microsoft Entra ID через Defender for Cloud Apps | Defender for Cloud Apps |
| Распыление паролей для локальных учетных записей | Microsoft Defender для удостоверений | |
| Компрометация устройств | Defender для конечной точки | |
| Хищение учетных данных | Microsoft Defender для удостоверений | |
| Повышение привилегий | Microsoft Defender для удостоверений |
Недавний пик в типичном поведении в противном случае
Злоумышленник пытается проверить наличие дополнительных сущностей для компрометации.
| Категория "Пик" | Источник сигнала | Альтернативные порталы безопасности |
|---|---|---|
| Входы: многочисленные неудачные попытки, попытки входа на несколько устройств в течение короткого периода времени, несколько попыток первого входа и т. д. | Защита Microsoft Entra ID через Defender for Cloud Apps, Microsoft Defender для удостоверений | Defender for Cloud Apps |
| Недавно активная учетная запись пользователя, группа, учетная запись компьютера, приложение | Защита Microsoft Entra ID через Defender for Cloud Apps (Microsoft Entra ID), Defender для удостоверений (доменные службы Active Directory [AD DS]) | Defender for Cloud Apps |
| Недавние действия приложения, такие как доступ к данным | Приложения с Defender for Cloud Apps с надстройкой управления приложениями | Defender for Cloud Apps |
Новое действие
Злоумышленник создает новые сущности для дальнейшего охвата, установки агентов вредоносных программ или уклонения от обнаружения.
| Действие | Источник сигнала | Альтернативный портал безопасности |
|---|---|---|
| Новые установленные приложения | Defender for Cloud Apps с надстройкой управления приложениями | Defender for Cloud Apps |
| Новые учетные записи пользователей | Защита идентификации Azure | Defender for Cloud Apps |
| Изменения ролей | Защита идентификации Azure | Defender for Cloud Apps |
Подозрительное поведение
Злоумышленник скачивает конфиденциальную информацию, шифрует файлы или иным образом собирает или наносит ущерб ресурсам организации.
| Поведение | Источник сигнала |
|---|---|
| Вредоносная программа распространяется на несколько устройств | Defender для конечной точки |
| Проверка ресурсов | Defender для конечной точки, Defender для удостоверений |
| Изменения в правилах переадресации почтовых ящиков | Defender для Office 365 |
| Кража и шифрование данных | Defender для Office 365 |
-*Монитор для злоумышленника, отключающего безопасность** — так как это часто является частью цепочки атак с управляемым человеком программам-шантажистом (HumOR)
- Очистка журналов событий , особенно журнал событий безопасности и операционные журналы PowerShell
- Отключение средств и элементов управления безопасностью (связанных с некоторыми группами)
Обнаружение атак программ-шантажистов с помощью портала Microsoft Defender
Портал Microsoft Defender предоставляет централизованное представление сведений об обнаружении, затронутых ресурсах, выполняемых автоматических действиях и связанных доказательствах сочетания:
- Очередь инцидентов, которая группирует связанные оповещения об атаке для предоставления полного область атаки, затронутых ресурсов и автоматических действий по исправлению.
- Очередь оповещений, в которой перечислены все оповещения, отслеживаемые Microsoft Defender XDR.
Источники инцидентов и оповещений
Microsoft Defender портал централизует сигналы от:
- Microsoft Defender для конечной точки
- Microsoft Defender для Office 365
- Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps (включая надстройку управления приложениями)
- Защита Microsoft Entra ID
- Microsoft Defender для Интернета вещей
В этой таблице перечислены некоторые типичные атаки и соответствующий источник сигнала для Microsoft Defender XDR.
| Атаки и инциденты | Источник сигнала |
|---|---|
| Облачная идентификация: распыление паролем, многочисленные неудачные попытки, попытки войти на несколько устройств в течение короткого периода времени, несколько входов в систему в первый раз, недавно активные учетные записи пользователей | Защита Microsoft Entra ID |
| Компрометация локального удостоверения (AD DS) | Defender для удостоверений |
| Фишинг | Defender для Office 365 |
| Вредоносные приложения | Defender for Cloud Apps или Defender for Cloud Apps с надстройкой управления приложениями |
| Компрометация конечной точки (устройства) | Defender для конечной точки |
| Компрометация устройства с поддержкой Интернета вещей | Defender для Интернета вещей |
Фильтрация инцидентов, идентифицированных программами-шантажистами
Вы можете легко фильтровать очередь инцидентов для инцидентов, которые были классифицированы Microsoft Defender XDR как программы-шантажисты.
- В области навигации Microsoft Defender портала перейдите в очередь инцидентов, выбрав Инциденты и оповещения Инциденты>.
- Выберите Фильтры.
- В разделе Категории выберите Программа-шантажист, нажмите кнопку Применить, а затем закройте панель Фильтры .
Каждый параметр фильтра для очереди инцидентов создает URL-адрес, который можно сохранить и получить к ней позже в виде ссылки. Эти URL-адреса можно добавить в закладки или иным образом сохранить и использовать при необходимости одним щелчком мыши. Например, можно создать закладки для:
- Инциденты, содержащие категорию "программа-шантажист". Ниже приведена соответствующая ссылка.
- Инциденты с указанным именем субъекта , которые, как известно, выполняют атаки программ-шантажистов.
- Инциденты с указанным именем связанной угрозы , которые, как известно, используются при атаках программ-шантажистов.
- Инциденты, содержащие настраиваемый тег, который команда SecOps использует для инцидентов, которые, как известно, являются частью более крупной скоординированной атаки с помощью программ-шантажистов.
Фильтрация отчетов об аналитике угроз, обнаруженных программой-шантажистом
Аналогично фильтрации инцидентов в очереди инцидентов, можно фильтровать отчеты аналитики угроз по отчетам, включающим программы-шантажисты.
- В области навигации выберите Аналитика угроз.
- Выберите Фильтры.
- В разделе Теги угроз выберите Программа-шантажист, нажмите кнопку Применить, а затем закройте область Фильтры .
Вы также можете щелкнуть эту ссылку.
В разделе Сведения об обнаружении многих отчетов аналитики угроз можно просмотреть список имен оповещений, созданных для угрозы.
API Microsoft Defender XDR
Вы также можете использовать API Microsoft Defender XDR для запроса Microsoft Defender XDR инцидентов и оповещений в клиенте. Пользовательское приложение может фильтровать данные, фильтровать их на основе пользовательских параметров, а затем предоставлять отфильтрованный список ссылок на оповещения и инциденты, которые можно легко выбрать, чтобы перейти непосредственно к такому оповещению или инциденту. См. раздел Перечисление API инцидентов в Microsoft Defender XDR| Документация Майкрософт. Вы также можете интегрировать SIEM с Microsoft Defender, см. статью Интеграция средств SIEM с Microsoft Defender XDR.
Интеграция Microsoft Defender XDR Sentinel
Интеграция Microsoft Defender XDR инцидентов Microsoft Sentinel позволяет выполнять потоковую передачу всех инцидентов Microsoft Defender XDR в Microsoft Sentinel и поддерживать их синхронизацию между обоими порталами. Инциденты включают все связанные оповещения, сущности и соответствующую информацию. В Sentinel инциденты будут по-прежнему синхронизированы с Microsoft Defender XDR, что позволяет воспользоваться преимуществами обоих порталов при расследовании инцидентов. См. Microsoft Defender XDR интеграции с Microsoft Sentinel.
Упреждающее сканирование с помощью расширенной охоты
Расширенная охота — это средство охоты на угрозы на основе запросов, которое позволяет просматривать и проверять события в сети для обнаружения индикаторов угроз и сущностей. Это гибкое и настраиваемое средство анализа позволяет без ограничений искать как известные, так и потенциальные угрозы. Microsoft Defender XDR также поддерживает использование пользовательского запроса для создания настраиваемых правил обнаружения, которые могут создавать оповещения на основе запроса и выполняться автоматически.
Для упреждающего сканирования действий программ-шантажистов необходимо собрать каталог расширенных запросов охоты на часто используемые методы атаки с помощью программ-шантажистов для удостоверений, конечных точек, приложений и данных. Ниже приведены некоторые ключевые источники для готовых к использованию расширенных охотничьих запросов:
- Статья Охота за программами-шантажистами
- Репозиторий GitHub для расширенных запросов охоты:
- Запросы программ-шантажистов
- Все категории запросов
- Отчеты по аналитике угроз
- Раздел "Расширенная охота" в отчете о программе-шантажистах: широко распространенное и продолжающееся аналитика угроз
- Раздел "Расширенная охота" других аналитических отчетов
Автоматическая охота
Запросы расширенной охоты также можно использовать для создания пользовательских правил обнаружения и действий на основе известных элементов метода атаки программы-шантажиста (например, использование необычных команд PowerShell). Пользовательские правила обнаружения создают оповещения, которые могут просматриваться и устраняться аналитиками безопасности.
Чтобы создать пользовательское правило обнаружения, выберите Create настраиваемое правило обнаружения на странице расширенного запроса охоты. После создания можно указать:
- Частота выполнения настраиваемого правила обнаружения
- Серьезность оповещения, созданного правилом
- Этап атаки MITRE для созданного оповещения
- Затронутые сущности
- Действия для затронутых сущностей
Подготовка команды SecOps к обнаружению программ-шантажистов
Для подготовки команды SecOps для упреждающего обнаружения программ-шантажистов требуется:
- Предварительная работа для команды и организации SecOps
- Обучение аналитиков безопасности по мере необходимости
- Текущая оперативная работа по внедрению новейших атак и обнаружения аналитиков безопасности
Предварительная работа для команды и организации SecOps
Выполните следующие действия, чтобы подготовить команду SecOps и организацию к целенаправленному предотвращению атак с помощью программ-шантажистов:
- Настройте ИТ-инфраструктуру и облачную инфраструктуру для защиты от программ-шантажистов с помощью инструкций По быстрому развертыванию программ-шантажистов. Этап 3. Усложните выполнение инструкций. Этапы и задачи, описанные в этом руководстве, можно выполнять параллельно с приведенными ниже шагами.
- Получите соответствующие лицензии для Defender для конечной точки, Defender для Office 365, Defender для удостоверений, Defender для облачных приложений, надстройки управления приложениями, Defender для Интернета вещей и служб Защита Microsoft Entra ID.
- Соберите каталог расширенных запросов охоты, настроенных для известных методов атаки с помощью программ-шантажистов или этапов атаки.
- Create набор настраиваемых правил обнаружения для конкретных расширенных запросов охоты, которые создают оповещения об известных методах атаки с помощью программ-шантажистов, включая их расписание, именование оповещений и автоматические действия.
- Определение набора настраиваемых тегов или стандартов для создания новых для выявления инцидентов, которые, как известно, являются частью более крупной скоординированной атаки с помощью программ-шантажистов.
- Определите набор операционных задач для управления инцидентами программы-шантажистом и оповещениями. Например:
- Процессы для аналитика уровня 1 сканирования входящих инцидентов и оповещений и назначения аналитикам уровня 2 для исследования.
- Выполнение расширенных запросов охоты вручную и их расписание (ежедневно, еженедельно, ежемесячно).
- Текущие изменения, основанные на исследовании атак программ-шантажистов и их устранении.
Обучение аналитика безопасности
При необходимости вы можете предоставить своим аналитикам безопасности внутреннее обучение по следующим вопросам:
- Распространенные цепочки атак программ-шантажистов (тактика атаки MITRE и распространенные методы угроз и вредоносные программы)
- Инциденты и оповещения, а также способы их поиска и анализа на портале Microsoft Defender с помощью:
- Оповещения и инциденты, уже созданные Microsoft Defender XDR
- Предварительно отсканированные фильтры на основе URL-адресов для портала Microsoft Defender
- Программно через API инцидентов
- Расширенные запросы охоты для использования и их ручное расписание (ежедневно, еженедельно, ежемесячно)
- Пользовательские правила обнаружения для использования и их параметры
- Пользовательские теги инцидентов
- Последние отчеты аналитики угроз для атак программ-шантажистов на портале Microsoft Defender
Текущая работа, основанная на оперативном обучении и новых угрозах
В рамках текущего инструмента и процесса вашей команды SecOps, рекомендации и опыт аналитиков безопасности, вы должны:
- Обновите каталог расширенных охотничьих запросов следующими параметрами:
- Новые запросы, основанные на последних отчетах аналитики угроз на портале Microsoft Defender или репозитории GitHub Advanced Hunting.
- Изменения существующих для оптимизации для выявления угроз или улучшения качества оповещений.
- Обновление настраиваемых правил обнаружения на основе новых или измененных расширенных запросов охоты.
- Обновите набор операционных задач для обнаружения программ-шантажистов.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по