Реагирование на атаки программ-шантажистов

Примечание.

Хотите испытать Microsoft Defender XDR? Узнайте больше о том, как оценивать и пилотно Microsoft Defender XDR.

Если вы подозреваете, что вы подверглись или находитесь под атакой программы-шантажиста, немедленно установите безопасный обмен данными с группой реагирования на инциденты. Они могут выполнить следующие этапы реагирования, чтобы нарушить атаку и уменьшить ущерб:

• Исследование и сдерживание
• Ликвидация и восстановление

В этой статье представлен обобщенный сборник схем реагирования на атаки программ-шантажистов. Рассмотрите возможность адаптации описанных в этой статье шагов и задач к собственному сборнику схем операций безопасности. ПРИМЕЧАНИЕ. Сведения о предотвращении атак программ-шантажистов см. в статье Быстрое развертывание защиты от программ-шантажистов.

Ограничение

Сдерживание и исследование должны происходить как можно более одновременно; однако следует сосредоточиться на быстром достижении сдерживания, чтобы у вас было больше времени для исследования. Эти действия помогут определить область атаки и изолировать ее только для затронутых сущностей, таких как учетные записи пользователей и устройства.

Шаг 1. Оценка область инцидента

Выполните этот список вопросов и задач, чтобы узнать степень атаки. Microsoft Defender XDR может предоставить консолидированное представление обо всех затронутых или подверженных риску ресурсах, чтобы помочь в оценке реагирования на инциденты. См. раздел Реагирование на инциденты с помощью Microsoft Defender XDR. Вы можете использовать оповещения и список доказательств в инциденте, чтобы определить:

• Какие учетные записи пользователей могут быть скомпрометированы?
  • Какие учетные записи использовались для доставки полезных данных?
• Какие подключенные и обнаруженные устройства затронуты и как?
  • Исходные устройства
  • Затронутые устройства
  • Подозрительные устройства
• Определите все сетевые подключения, связанные с инцидентом.
• Какие приложения затронуты?
• Какие полезные данные были распределены?
• Как злоумышленник взаимодействует с скомпрометируемыми устройствами? (Защита сети должна быть включена):
  • Перейдите на страницу индикаторов , чтобы добавить блок для IP-адреса и URL-адреса (если у вас есть эти сведения).
• Что было средой доставки полезных данных?

Шаг 2. Сохранение существующих систем

Выполните следующий список задач и вопросов, чтобы защитить существующие системы от атак:

• Если у вас есть оперативное резервное копирование, попробуйте отключить систему резервного копирования от сети, пока не будете уверены в том, что атака будет сдерживается. См. раздел План резервного копирования и восстановления для защиты от программ-шантажистов | Документация Майкрософт.
• Если вы испытываете или ожидаете неминуемого и активного развертывания программ-шантажистов:
  • Приостановите привилегированные и локальные учетные записи , которые, как вы подозреваете, являются частью атаки. Это можно сделать на вкладке Пользователи в свойствах инцидента на портале Microsoft Defender.
  • Остановите все сеансы удаленного входа.
  • Сбросьте пароли скомпрометированных учетных записей пользователей и обязать пользователей скомпрометированных учетных записей снова войти в систему.
  • Сделайте то же самое для учетных записей пользователей, которые могут быть скомпрометированы.
  • Если общие локальные учетные записи скомпрометируются, ит-администратор поможет вам принудительно изменить пароль на всех доступных устройствах. Пример запроса Kusto:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• Для устройств, которые еще не изолированы и не являются частью критической инфраструктуры:
  • Изолируйте скомпрометированные устройства от сети, но не отключайте их.
  • Если вы определите исходные или распространители устройств, сначала изолируйте их.
• Сохранение скомпрометированных систем для анализа.

Шаг 3. Предотвращение распространения

Используйте этот список, чтобы используйте этот список, чтобы атака не распространилась на другие сущности.

• Если в атаке используются общие локальные учетные записи, рассмотрите возможность блокировки удаленного использования локальных учетных записей.
  • Запрос Kusto для всех сетевых входов, которые являются локальными администраторами:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Запрос Kusto для входов, отличных от RDP (более реалистично для большинства сетей):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Помещают в карантин и добавляют индикаторы для зараженных файлов.
• Убедитесь, что антивирусное решение настраивается в оптимальном состоянии защиты. Для антивирусной программы Microsoft Defender сюда входят:
  • Включена защита в режиме реального времени .
  • Защита от незаконного изменения включена. На портале Microsoft Defender выберите Параметры Конечные > точки > Дополнительные функции > защиты от незаконного изменения.
  • Включены правила сокращения направлений атак.
  • Облачная защита включена.
• Отключите Exchange ActiveSync и приложение синхронизации OneDrive.
  • Сведения об отключении Exchange ActiveSync для почтового ящика см. в статье Отключение Exchange ActiveSync для пользователей в Exchange Online.
  • Чтобы отключить другие типы доступа к почтовому ящику, см. следующие статьи:
    • Включение или отключение MAPI для почтового ящика.
    • Включение или отключение доступа по протоколу POP3 или IMAP4 для пользователя.
  • Приостановка приложение синхронизации OneDrive помогает защитить облачные данные от обновления потенциально зараженными устройствами. Дополнительные сведения см . в статье Приостановка и возобновление синхронизации в OneDrive.
• Применяйте соответствующие исправления и изменения конфигурации к затронутым системам.
• Блокировать обмен данными программ-шантажистов с помощью внутренних и внешних элементов управления.
• Очистка кэшированного содержимого

Исследование

Используйте этот раздел для изучения атаки и планирования реагирования.

Оценка текущей ситуации

• Что первоначально заставило вас знать об атаке программы-шантажиста?
  • Если ИТ-специалисты обнаружили первоначальную угрозу, например удаление резервных копий, оповещения антивирусной программы, оповещения об обнаружении и реагировании конечных точек (EDR) или подозрительные изменения в системе, часто можно принять быстрые решительные меры, чтобы помешать атаке, как правило, с помощью действий сдерживания, описанных в этой статье.
• С какой даты и времени вы впервые узнали об инциденте?
  • Какие обновления системы и системы безопасности не были установлены на устройствах в эту дату? Это важно, чтобы понять, какие уязвимости можно было использовать, чтобы их можно было устранить на других устройствах.
  • Какие учетные записи пользователей использовались в эту дату?
  • Какие новые учетные записи пользователей были созданы с этой даты?
  • Какие программы были добавлены для автоматического запуска во время инцидента?
• Есть ли признаки того, что злоумышленник в настоящее время обращается к системам?
  • Есть ли какие-либо предполагаемые скомпрометированные системы, которые испытывают необычную активность?
  • Есть ли какие-либо подозрительные скомпрометированные учетные записи, которые, как представляется, активно используются злоумышленником?
  • Есть ли какие-либо свидетельства активных серверов команд и управления (C2) в EDR, брандмауэре, VPN, веб-прокси и других журналах?

Определение процесса программы-шантажиста

• С помощью расширенной охоты найдите идентифицированный процесс в событиях создания процесса на других устройствах.

Поиск предоставленных учетных данных на зараженных устройствах

• Для учетных записей пользователей, учетные данные которых потенциально были скомпрометированы, сбросьте пароли учетных записей и потребуете от пользователей повторного входа.
• Следующие операции ввода-вывода могут указывать на боковое смещение:

Щелкните, чтобы развернуть

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Усилитель Защитника Mimikatz
• Средство проверки сети, используемое PARINACOTA
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• Обработка доступа Lsass
• Подозрительное выполнение процесса Rundll32
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Метасплоит
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• Подозрительная регистрация DLL с помощью odbcconf
• Подозрительная активность DPAPI
• Подозрительное выполнение процесса Exchange
• Подозрительный запланированный запуск задачи
• ПодозрительныйLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• Ненадежное приложение открывает подключение по протоколу RDP

Определение бизнес-приложений (LOB), которые недоступны из-за инцидента

• Требуется ли приложению удостоверение?
  • Как выполняется проверка подлинности?
  • Как хранятся и управляются учетные данные, такие как сертификаты или секреты?
• Доступны ли вычисляемые резервные копии приложения, его конфигурации и данные?
• Определите процесс восстановления компрометации.

Ликвидация и восстановление

Выполните следующие действия, чтобы устранить угрозу и восстановить поврежденные ресурсы.

Шаг 1. Проверка резервных копий

Если у вас есть автономные резервные копии, вы, вероятно, можете восстановить зашифрованные данные после удаления полезных данных программы-шантажистов (вредоносных программ) из среды и после проверки отсутствия несанкционированного доступа в клиенте Microsoft 365.

Шаг 2. Добавление индикаторов

Добавьте все известные каналы связи злоумышленников в качестве индикаторов, заблокированных в брандмауэрах, на прокси-серверах и в конечных точках.

Шаг 3. Сброс скомпрометированных пользователей

Сбросьте пароли всех известных скомпрометированных учетных записей пользователей и потребуется новый вход.

• Рассмотрите возможность сброса паролей для любой привилегированной учетной записи с широкими административными полномочиями, например для членов группы "Администраторы домена".
• Если учетная запись пользователя была создана злоумышленником, отключите ее. Не удаляйте учетную запись, если нет планов по выполнению судебной экспертизы безопасности для инцидента.

Шаг 4. Изоляция контрольных точек злоумышленника

Изолируйте все известные точки управления злоумышленниками внутри предприятия от Интернета.

Шаг 5. Удаление вредоносных программ

Удалите вредоносную программу с затронутых устройств.

• Выполните полную текущую проверку антивирусной программы на всех подозрительных компьютерах и устройствах, чтобы обнаружить и удалить полезные данные, связанные с программой-шантажистом.
• Не забудьте проверить устройства, которые синхронизируют данные или целевые объекты сопоставленных сетевых дисков.

Шаг 6. Восстановление файлов на очищенном устройстве

Восстановление файлов на очищенном устройстве.

• Вы можете использовать журнал файлов в Windows 11, Windows 10, Windows 8.1 и системной защиты в Windows 7, чтобы попытаться восстановить локальные файлы и папки.

Шаг 7. Восстановление файлов в OneDrive для бизнеса

Восстановление файлов в OneDrive для бизнеса.

• Восстановление файлов в OneDrive для бизнеса позволяет восстановить весь OneDrive до предыдущего момента времени за последние 30 дней. Подробную информацию см. в разделе Восстановление OneDrive.

Шаг 8. Восстановление удаленной электронной почты

Восстановление удаленной электронной почты.

• В редких случаях, когда программа-шантажист удалила все сообщения электронной почты в почтовом ящике, вы можете восстановить удаленные элементы. См. статью Восстановление удаленных сообщений в почтовом ящике пользователя в Exchange Online.

Шаг 9. Повторное включение Exchange ActiveSync и приложение синхронизации OneDrive

• После очистки компьютеров и устройств и восстановления данных можно повторно включить Exchange ActiveSync и приложение синхронизации OneDrive, которые вы ранее отключили на шаге 3 сдерживания.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.