Подход и рекомендации по программе-шантажистов Microsoft DART

Программ-шантажистов , управляемых человеком, не является злонамеренной проблемой программного обеспечения - это человеческая криминальная проблема. Решения, используемые для решения проблем с сырьевыми товарами, недостаточно, чтобы предотвратить угрозу, которая более тесно похожа на субъекта угроз государства страны, который:

• Отключает или удаляет антивирусное программное обеспечение перед шифрованием файлов
• Отключает службы безопасности и ведение журнала, чтобы избежать обнаружения
• Поиск и повреждение или удаление резервных копий перед отправкой запроса на выкуп

Эти действия обычно выполняются с законными программами, которые уже могут быть в вашей среде для административных целей. В преступных руках эти средства используются злонамеренно для совершения нападений.

Реагирование на растущую угрозу программ-шантажистов требует сочетания современных корпоративных конфигураций, современных продуктов безопасности и бдительности обученного персонала безопасности для обнаружения и реагирования на угрозы до потери данных.

Группа обнаружения и реагирования Майкрософт (DART) отвечает на компромиссы безопасности, чтобы помочь клиентам стать киберустойчивыми. DART предоставляет реактивное реагирование на инциденты на сайте и удаленные упреждающие расследования. DART использует стратегические партнерские отношения Майкрософт с организациями безопасности по всему миру и внутренними группами продуктов Майкрософт для обеспечения наиболее полного и тщательного расследования.

В этой статье описывается, как DART обрабатывает атаки программ-шантажистов для клиентов Майкрософт, чтобы рассмотреть возможность применения элементов их подхода и рекомендаций для собственного сборника схем операций безопасности.

Дополнительные сведения см. в следующих разделах:

• Как DART использует службы безопасности Майкрософт
• Подход DART к проведению расследований инцидентов программ-шантажистов
• Рекомендации и рекомендации DART

Примечание.

Это содержимое статьи было получено из руководства по борьбе с программ-шантажистов, управляемых человеком: часть 1 и руководство по борьбе с программ-шантажистов, управляемых человеком: часть 2 блога группы безопасности Майкрософт.

Как DART использует службы безопасности Майкрософт

DART сильно зависит от данных для всех расследований и использует существующие развертывания служб безопасности Майкрософт, таких как Microsoft Defender для Office 365, Microsoft Defender для конечной точки, Microsoft Defender для удостоверений и приложения Microsoft Defender для облака.

Defender для конечной точки

Defender для конечной точки — это корпоративная платформа безопасности конечных точек Майкрософт, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы. Defender для конечной точки может обнаруживать атаки с помощью расширенной аналитики поведения и машинного обучения. Аналитики могут использовать Defender для конечной точки для аналитики поведения злоумышленников.

Ниже приведен пример оповещения в Microsoft Defender для конечной точки для атаки pass-the-ticket.

Аналитики также могут выполнять расширенные запросы охоты, чтобы свести индикаторы компрометации (IOCs) или искать известное поведение, если они определяют группу субъектов угроз.

Ниже приведен пример использования расширенных запросов охоты для поиска известного поведения злоумышленника.

В Defender для конечной точки у вас есть доступ к службе мониторинга и анализа уровня экспертов в режиме реального времени, эксперты Майкрософт по угрозам для текущей предполагаемой активности субъекта. Вы также можете сотрудничать с экспертами по запросу для получения дополнительных сведений об оповещениях и инцидентах.

Ниже приведен пример того, как Defender для конечной точки показывает подробное действие программы-шантажистов.

Defender для удостоверений

Вы используете Defender для идентификации для изучения известных скомпрометированных учетных записей и поиска потенциально скомпрометированных учетных записей в вашей организации. Defender для удостоверений отправляет оповещения о известных вредоносных действиях, которые субъекты часто используют такие как атаки DCSync, попытки удаленного выполнения кода и атаки с хэшом. Defender для удостоверений позволяет определить подозрительные действия и учетные записи, чтобы сузить расследование.

Ниже приведен пример отправки оповещений Defender для удостоверений известных вредоносных действий, связанных с атаками программ-шантажистов.

Defender for Cloud Apps

Defender для облака Приложения (ранее известные как Microsoft Cloud App Security) позволяют аналитикам обнаруживать необычное поведение в облачных приложениях для выявления программ-шантажистов, скомпрометированных пользователей или изгоев приложений. Defender для облака Приложения — это решение брокера безопасности доступа к облачным ресурсам (CASB), которое позволяет отслеживать облачные службы и доступ к данным в облачных службах пользователями.

Ниже приведен пример панели мониторинга Defender для облака Apps, которая позволяет анализировать необычное поведение в облачных приложениях.

Оценка безопасности Майкрософт

Набор служб XDR в Microsoft Defender предоставляет рекомендации по исправлению в реальном времени, чтобы уменьшить область атаки. Оценка безопасности Майкрософт — это измерение состояния безопасности организации с более высоким числом, указывающим на то, что были приняты дополнительные меры по улучшению. Ознакомьтесь с документацией по оценке безопасности, чтобы узнать больше о том, как ваша организация может использовать эту функцию для определения приоритетов действий по исправлению, основанных на их среде.

Подход DART к проведению расследований инцидентов программ-шантажистов

Необходимо предпринять все усилия, чтобы определить, как злоумышленник получил доступ к вашим ресурсам, чтобы устранить уязвимости. В противном случае, скорее всего, тот же тип атаки повторится в будущем. В некоторых случаях субъект угроз принимает меры для покрытия своих следов и уничтожения доказательств, поэтому возможно, что вся цепочка событий может быть не очевидна.

Ниже приведены три ключевых этапа в расследованиях программ-шантажистов DART:

Этап	Goal	Начальные вопросы
1. Оценка текущей ситуации	Общие сведения о область	Что первоначально заставило вас знать о атаке программы-шантажистов? Какое время и дата вы впервые узнали об инциденте? Какие журналы доступны и есть ли какие-либо признаки того, что субъект в настоящее время обращается к системам?
2. Определение затронутых бизнес-приложений (LOB)	Получение систем обратно в сети	Требуется ли приложению удостоверение? Доступны ли резервные копии приложения, конфигурации и данных? Регулярно ли проверяется содержимое и целостность резервных копий с помощью упражнения восстановления?
3. Определение процесса восстановления компрометации (CR)	Удаление элемента управления злоумышленником из среды	Н/П

Шаг 1. Оценка текущей ситуации

Оценка текущей ситуации имеет решающее значение для понимания область инцидента и определения лучших людей для оказания помощи и планирования и область задач расследования и исправления. При выборе следующих первоначальных вопросов важно помочь определить ситуацию.

Что первоначально заставило вас знать о атаке программы-шантажистов?

Если ИТ-специалисты определили начальную угрозу, например удаление резервных копий, антивирусное оповещение, оповещения обнаружение и нейтрализация атак на конечные точки (EDR) или подозрительные изменения системы, часто можно принять быстрые решительные меры, чтобы отсортировать атаку, как правило, отключив все входящий и исходящий интернет-обмен данными. Эта угроза может временно повлиять на бизнес-операции, но это, как правило, будет гораздо менее затронутым, чем злоумышленник, развертывающий программ-шантажистов.

Если пользователь вызывает ИТ-службу технической поддержки идентифицирует угрозу, может быть достаточно предварительного предупреждения, чтобы принять оборонительные меры, чтобы предотвратить или свести к минимуму последствия атаки. Если внешняя сущность, например правоохранительные органы или финансовое учреждение, определила угрозу, скорее всего, это уже сделано, и вы увидите доказательства в вашей среде, что субъект угроз имеет административный контроль над вашей сетью. Это свидетельство может варьироваться от заметок программы-шантажистов, заблокированных экранов или требований выкупа.

Какая дата и время вы впервые узнали об инциденте?

Установка даты и времени начальной активности важна, так как она помогает сузить область начальной операции для быстрого выигрыша злоумышленником. К дополнительным вопросам могут относиться следующие:

• Какие обновления отсутствуют на этой дате? Важно понимать, какие уязвимости могут быть использованы злоумышленником.
• Какие учетные записи использовались на этой дате?
• Какие новые учетные записи были созданы с этой даты?

Какие журналы доступны, и есть ли какие-либо признаки того, что субъект в настоящее время обращается к системам?

Журналы , такие как антивирусная программа, EDR и виртуальная частная сеть (VPN) являются индикатором предполагаемого компрометации. К следующим вопросам могут относиться следующие вопросы:

• Агрегируются ли журналы в решении siEM, например Microsoft Sentinel, Splunk, ArcSight и других? Какой период хранения этих данных?
• Есть ли какие-либо подозрительные скомпрометированные системы, которые испытывают необычные действия?
• Есть ли какие-либо предполагаемые скомпрометированные учетные записи, которые, как представляется, активно используются злоумышленником?
• Есть ли какие-либо доказательства активной команды и элементов управления (C2s) в EDR, брандмауэре, VPN, веб-прокси и других журналах?

В рамках оценки текущей ситуации может потребоваться контроллер домена домен Active Directory служб (AD DS), который не был скомпрометирован, недавнее резервное копирование контроллера домена или недавний контроллер домена, принятый в автономном режиме для обслуживания или обновлений. Также определите, требуется ли многофакторная проверка подлинности (MFA) для всех пользователей компании и используется ли идентификатор Microsoft Entra.

Шаг 2. Определение бизнес-приложений, недоступных из-за инцидента

Этот шаг является критически важным в том, чтобы определить самый быстрый способ получить системы обратно в сети при получении необходимых доказательств.

Требуется ли приложению удостоверение?

• Как выполняется аутентификация?
• Как хранятся и управляются учетные данные, такие как сертификаты или секреты?

Доступны ли тестированные резервные копии приложения, конфигурации и данных?

• Регулярно ли проверяется содержимое и целостность резервных копий с помощью упражнения восстановления? Это проверка особенно важно после изменений в управлении конфигурацией или обновлений версий.

Шаг 3. Определение процесса восстановления компрометации

Этот шаг может потребоваться, если вы определили, что плоскость управления, которая обычно является AD DS, скомпрометирована.

Ваше исследование всегда должно иметь цель предоставления выходных данных, которые передается непосредственно в процесс CR. CR — это процесс, который удаляет управление злоумышленниками из среды и тактически повышает уровень безопасности в течение заданного периода. CR происходит после нарушения безопасности. Дополнительные сведения о CR см. в статье блога клиентов о команде microsoft Compromise Recovery Security Security Practice в CRSP: команда по чрезвычайным ситуациям борется с кибератаками рядом с клиентами .

После сбора ответов на вопросы, описанные в шагах 1 и 2, можно создать список задач и назначить владельцев. Ключевым фактором успешного реагирования на инциденты является тщательная подробная документация по каждому рабочему элементу (например, владельцу, состоянию, результатам, дате и времени), что делает компиляцию результатов в конце процесса простого процесса.

Рекомендации и рекомендации DART

Ниже приведены рекомендации DART и рекомендации по сдерживанию и после инцидента.

Автономность

Сдерживание может произойти только после определения того, что необходимо содержать. В случае программ-шантажистов цель злоумышленника — получить учетные данные, которые позволяют администрировать сервер с высоким уровнем доступности, а затем развертывать программ-шантажистов. В некоторых случаях субъект угроз определяет конфиденциальные данные и эксфильтрует его в расположение, которое они контролируют.

Тактическое восстановление уникально для среды, отрасли и уровня ит-специалистов и опыта вашей организации. Описанные ниже шаги рекомендуются для краткосрочных и тактических действий по сдерживанию вашей организации. Дополнительные сведения о долгосрочном руководстве см. в статье о защите привилегированного доступа. Полный обзор программ-шантажистов и вымогательства и подготовки и защиты организации см. в статье о программе-шантажистов, управляемых человеком.

Следующие действия по сдерживанию можно выполнять параллельно, так как обнаруживаются новые векторы угроз.

Шаг 1. Оценка область ситуации

• Какие учетные записи пользователей скомпрометировались?
• Какие устройства затронуты?
• Какие приложения затронуты?

Шаг 2. Сохранение существующих систем

• Отключите все привилегированные учетные записи пользователей, за исключением небольшого количества учетных записей, используемых администраторами для сброса целостности инфраструктуры AD DS. Если вы считаете, что учетная запись пользователя скомпрометирована, отключите ее немедленно.
• Изоляция скомпрометированных систем из сети, но не отключает их.
• Изоляция по крайней мере одного известного хорошего контроллера домена в каждом домене еще лучше. Либо отключите их от сети, либо полностью отключите их. Объект заключается в том, чтобы остановить распространение программ-шантажистов к критически важным системам идентификации в наиболее уязвимом положении. Если все контроллеры домена являются виртуальными, убедитесь, что система и диски данных платформы виртуализации создают резервные копии в автономный внешний носитель, который не подключен к сети, если сама платформа виртуализации скомпрометирована.
• Изолируйте критически важные известные хорошие серверы приложений, например SAP, базу данных управления конфигурацией (CMDB), системы выставления счетов и учета.

Эти два шага можно выполнить параллельно, так как обнаруживаются новые векторы угроз. Отключите эти векторы угроз, а затем попробуйте найти известную хорошую систему для изоляции от сети.

Другие тактические действия по сдерживанию могут включать:

• Сбросьте пароль krbtgt, дважды в быстром последовательности. Рассмотрите возможность использования сценария, повторяемого процесса. Этот скрипт позволяет сбросить пароль учетной записи krbtgt и связанные ключи, свести к минимуму вероятность проблем проверки подлинности Kerberos, вызванных операцией. Чтобы свести к минимуму потенциальные проблемы, время существования krbtgt можно сократить один или несколько раз до первого сброса пароля, чтобы два сброса были выполнены быстро. Обратите внимание, что все контроллеры домена, которые вы планируете хранить в вашей среде, должны быть в сети.

• Разверните групповую политику во всех доменах, которые препятствуют привилегированному входу (доменным Администратор) на все, кроме контроллеров домена и привилегированных рабочих станций с правами администратора (если таковые имеются).

• Установите все отсутствующие обновления безопасности для операционных систем и приложений. Каждое отсутствующее обновление является потенциальным вектором угроз, который злоумышленники могут быстро выявлять и использовать. Microsoft Defender для конечной точкиУправление угрозами и уязвимостями позволяет легко увидеть, что отсутствует, а также потенциальное влияние отсутствующих обновлений.

  • Для устройств Windows 10 (или более поздних версий) убедитесь, что текущая версия (или n-1) работает на каждом устройстве.

  • Разверните правила уменьшения поверхности атак (ASR), чтобы предотвратить инфекцию вредоносных программ.

  • Включите все функции безопасности Windows 10.

• Убедитесь, что каждое внешнее приложение, включая VPN-доступ, защищено многофакторной проверкой подлинности, предпочтительно с помощью приложения проверки подлинности, работающего на защищенном устройстве.

• Для устройств, не использующих Defender для конечной точки в качестве основного антивирусного программного обеспечения, выполните полную проверку с средство проверки безопасности (Майкрософт) на изолированных известных хороших системах, прежде чем повторно подключить их к сети.

• Для всех устаревших операционных систем обновите поддерживаемую ОС или выключите эти устройства. Если эти параметры недоступны, примите все возможные меры для изоляции этих устройств, включая изоляцию сети и VLAN, правила безопасности протокола Интернета (IPsec) и ограничения входа, поэтому они доступны только для приложений пользователями или устройствами для обеспечения непрерывности бизнес-процессов.

Самые рискованные конфигурации состоят из запуска критически важных систем в устаревших операционных системах, как и windows NT 4.0 и приложений, все на устаревшем оборудовании. Не только эти операционные системы и приложения небезопасны и уязвимы, если это оборудование завершается сбоем, резервное копирование обычно не может быть восстановлено на современном оборудовании. Если устаревшее оборудование не доступно, эти приложения перестают функционировать. Настоятельно рекомендуется преобразовать эти приложения в текущие операционные системы и оборудование.

Действия после инцидента

DART рекомендует реализовать следующие рекомендации по безопасности и рекомендации после каждого инцидента.

• Убедитесь, что рекомендации предназначены для решений электронной почты и совместной работы, чтобы сделать их более сложными для злоумышленников, позволяя внутренним пользователям легко и безопасно получать доступ к внешнему содержимому.

• Следуйте рекомендациям по обеспечению безопасности нулевого доверия для решений удаленного доступа к внутренним ресурсам организации.

• Начиная с администраторов критического влияния, следуйте рекомендациям по обеспечению безопасности учетной записи, включая использование проверки подлинности без пароля или MFA.

• Реализуйте комплексную стратегию для снижения риска компрометации привилегированного доступа.

  • Для доступа к облаку и лесу или домену используйте модель привилегированного доступа Майкрософт (PAM).

  • Для администрирования конечной точки используйте локальное решение с административным паролем (LAPS).

• Реализуйте защиту данных для блокировки методов программ-шантажистов и подтверждения быстрого и надежного восстановления от атаки.

• Просмотрите критически важные системы. Проверьте защиту и резервные копии для преднамеренного удаления злоумышленника или шифрования. Важно периодически тестировать и проверять эти резервные копии.

• Обеспечьте быстрое обнаружение и исправление распространенных атак на конечную точку, электронную почту и удостоверение.

• Активное обнаружение и непрерывное повышение уровня безопасности среды.

• Обновите организационные процессы, чтобы управлять крупными событиями программ-шантажистов и оптимизировать аутсорсинг, чтобы избежать трений.

PAM

Использование PAM (ранее известной как модель многоуровневого администрирования) повышает уровень безопасности идентификатора Microsoft Entra ID, который включает в себя:

• Разбиение административных учетных записей в "плановой" среде —одна учетная запись для каждого уровня, обычно четыре:

• Плоскость управления (прежнее название — уровень 0): Администратор istration контроллеров домена и других важных служб удостоверений, таких как службы федерации Active Directory (AD FS) (ADFS) или Microsoft Entra Подключение, которая также включает серверные приложения, требующие административных разрешений для AD DS, таких как Exchange Server.

• Следующие два самолета были ранее уровня 1:

  • Плоскость управления: управление активами, мониторинг и безопасность.

  • Плоскость данных и рабочей нагрузки: приложения и серверы приложений.

• Следующие два самолета были ранее уровня 2:

  • Доступ пользователей: права доступа для пользователей (например, учетных записей).

  • Доступ к приложениям: права доступа для приложений.

• Каждый из этих самолетов имеет отдельную административную рабочую станцию для каждой плоскости и имеет доступ только к системам в этом самолете. Другие учетные записи из других самолетов запрещены доступ к рабочим станциям и серверам на других самолетах с помощью назначений прав пользователей, установленных на этих компьютерах.

Чистый результат PAM заключается в том, что:

• Скомпрометированная учетная запись пользователя имеет доступ только к плоскости, к которой она принадлежит.

• Более конфиденциальные учетные записи пользователей не будут входить на рабочие станции и серверы с уровнем безопасности нижнего уровня, тем самым уменьшая боковое перемещение.

LAPS

По умолчанию Microsoft Windows и AD DS не имеют централизованного управления локальными административными учетными записями на рабочих станциях и серверах-членах. Это может привести к общему паролю, заданному для всех этих локальных учетных записей, или по крайней мере в группах компьютеров. Эта ситуация позволяет злоумышленникам компрометировать одну учетную запись локального администратора, а затем использовать эту учетную запись для получения доступа к другим рабочим станциям или серверам в организации.

LaPS майкрософт устраняет это с помощью клиентского расширения групповой политики, которое изменяет локальный административный пароль через регулярные интервалы на рабочих станциях и серверах в соответствии с набором политик. Каждый из этих паролей отличается и хранится в качестве атрибута в объекте компьютера AD DS. Этот атрибут можно получить из простого клиентского приложения в зависимости от разрешений, назначенных этому атрибуту.

LAPS требует, чтобы схема AD DS была расширена, чтобы разрешить установку дополнительных атрибутов, шаблоны групповой политики LAPS и небольшое клиентское расширение, установленное на каждой рабочей станции и сервере-члене, чтобы обеспечить функциональность на стороне клиента.

Вы можете получить LAPS из Центра загрузки Майкрософт.

Дополнительные ресурсы о программах-шантажистах

Основная информация от корпорации Майкрософт:

• Растущая угроза атак программ-шантажистов, запись блога Microsoft On the Issues от 20 июля 2021 г.
• Программ-шантажистов, управляемых человеком
• Быстрая защита от программ-шантажистов и вымогательства
• Отчет Майкрософт о цифровой защите за 2021 г. (см. стр. 10–19)
• Программ-шантажистов: постоянный и постоянный отчет аналитики угроз на портале Microsoft Defender
• Пример использования программ-шантажистов Microsoft DART

Microsoft 365:

• Развертывание средств защиты от программ-шантажистов для арендатора Microsoft 365
• Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
• Восстановление после атаки с использованием программ-шантажистов
• Защита от вредоносных программ и программ-шантажистов
• Защита компьютера Windows 10 от программ-шантажистов
• Противодействие программам-шантажистам в SharePoint Online
• Отчеты аналитики угроз для программ-шантажистов на портале Microsoft Defender

XDR в Microsoft Defender:

• Поиск программ-шантажистов с помощью расширенной охоты

Microsoft Azure:

• Защита Azure от атак программ-шантажистов
• Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
• План резервного копирования и восстановления для защиты от программ-шантажистов
• Защита от программ-шантажистов с помощью Microsoft Azure Backup (26-минутное видео)
• Восстановление от системного компрометации удостоверений
• Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
• Обнаружение Fusion для программ-шантажистов в Microsoft Sentinel

приложения Microsoft Defender для облака:

• Создание политик обнаружения аномалий в приложениях Defender для облака

Записи блога службы безопасности Майкрософт:

• Три шага по предотвращению и восстановлению от программ-шантажистов (сентябрь 2021 г.)

• Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 1 (сентябрь 2021 г.)

  Ключевые шаги по изучению того, как DART Корпорации Майкрософт проводит расследования инцидентов программ-шантажистов.

• Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 2 (сентябрь 2021 г.)

  Рекомендации и рекомендации.

• Устойчивость путем понимания рисков кибербезопасности: часть 4-навигация по текущим угрозам (май 2021 г.)

  См. раздел Программы-шантажисты.

• Атака с использованием программ-шантажистов, управляемых человеком: катастрофа, которую можно предотвратить (март 2020 г.)

  Включает анализ цепочки реальных атак.

• Ответ программы-шантажистов на оплату или не платить? (декабря 2019 г.)

• Norsk Hydro прозрачно реагирует на атаку с использованием программ-шантажистов (декабрь 2019 г.)