Microsofts RANSOM-metod för utpressningstrojaner och metodtips

Mänskliga utpressningstrojaner är inte ett skadligt programvaruproblem – det är ett mänskligt brottslingsproblem. De lösningar som används för att hantera varor problem räcker inte för att förhindra ett hot som mer liknar en dåd-state threat-aktör som:

• Inaktiverar eller avinstallerar antivirusprogrammet innan du krypterar filer
• Inaktiverar säkerhetstjänster och loggning för att undvika identifiering
• Söker efter och raderar säkerhetskopior innan en begäran om utpressningstrojan skickas

De här åtgärderna utförs vanligtvis med legitima program som du kanske redan har i din miljö i administrativa syften. I brottslings händer används dessa verktyg skadliga för att utföra attacker.

För att svara på ett växande hot om utpressningstrojaner krävs en kombination av en modern företagskonfiguration, uppdaterade säkerhetsprodukter och att säkerhetspersonal med utbildning kan identifiera och reagera på hoten innan data går förlorade.

Microsoft Detection and Response Team (IT AND Response Team) arbetar med säkerhetsprometter för att hjälpa kunderna att bli mer flexibel på cyberhot. ANDE tillhandahåller svar på lokala incidenter och fjärrföre förebyggande undersökningar. ÄRA utnyttjar Microsofts strategiska samarbeten med säkerhetsorganisationer i hela världen och interna Microsoft-produktgrupper för att tillhandahålla en så fullständig och noggrann undersökning som möjligt.

I den här artikeln beskrivs hur ÄRA hanterar utpressningstrojaner mot Microsoft-kunder så att du kan överväga att använda element i deras tillvägagångssätt och metodtips för din egen spelbok för säkerhetsåtgärder.

Mer information finns i följande avsnitt:

• Så här använder SIG AV MICROSOFTs säkerhetstjänster
• SÅ HÄR utför DU utpressningstrojaner
• TIPS och metodtips

Så här använder SIG AV MICROSOFTs säkerhetstjänster

ÄR BEROENDE av data i hög grad för alla undersökningar och använder befintliga distributioner av Microsofts säkerhetstjänster, till exempel Microsoft Defender för Office 365,Microsoft Defender för slutpunkt,Microsoft Defenderför identitet och Microsoft Defender för molnappar.

Defender för Slutpunkt

Defender för Endpoint är Microsofts säkerhetsplattform för företagsslutpunkter som utformats för att hjälpa säkerhetsanalytiker i företagsnätverk att förhindra, identifiera, undersöka och reagera på avancerade hot. Defender för Endpoint kan identifiera attacker med hjälp av avancerad beteendeanalys och maskininlärning. Dina analytiker kan använda Defender för Endpoint för analys av attackersbeteende.

Här är ett exempel på en avisering i Microsoft Defender för Endpoint om en pass-the-ticket-attack.

Analytikerna kan också utföra avancerade sökfrågor för att pivotera bort indikatorer på kompromett (IOCs) eller söka efter känt beteende om de identifierar en aktörsgrupp som använder hot.

Här är ett exempel på hur avancerade sökfrågor kan användas för att hitta kända attacker.

I Defender för Endpoint har du tillgång till en tjänst för övervakning och analys i realtid av Microsoft Hotexperter pågående misstänkt aktörsaktivitet. Du kan också samarbeta med experter på begäran för ytterligare insikter om aviseringar och incidenter.

Här är ett exempel på hur Defender för Slutpunkt visar detaljerad utpressningstrojanaktivitet.

Defender för identitet

Du använder Defender för identitet om du vill undersöka kända komprometterade konton och hitta potentiellt komprometterade konton i organisationen. Defender för identitet skickar aviseringar om känd skadlig aktivitet som aktör ofta använder, till exempel DCSync-attacker, fjärrkodskörningsförsök och pass-the-hash-attacker. Med Defender för identitet kan du hitta misstänkt aktivitet och konton för att begränsa undersökningen.

Här är ett exempel på hur Defender för identitet skickar aviseringar om känd skadlig aktivitet relaterad till utpressningstrojanattacker.

Defender för molnappar

Med Defender för molnappar (kallades tidigare Microsoft Defender för molnappar) kan dina analytiker identifiera ovanligt beteende i molnappar för att identifiera utpressningstrojaner, komprometterade användare eller falska program. Defender för molnappar är Microsofts CASB-lösning (Cloud Access Security Broker) som gör det möjligt för användare att övervaka molntjänster och dataåtkomst i molntjänster.

Här är ett exempel på instrumentpanelen Defender för molnappar, som gör att analyser kan identifiera ovanligt beteende i olika molnappar.

Microsoft Secure Score

Uppsättningen Microsoft 365 Defender ger rekommendationer om åtgärder för att minska attackytan. Microsoft Secure Score är ett mått på en organisations säkerhetssäkerhet, med ett högre tal som anger att fler förbättringsåtgärder har vidtagits. I dokumentationen för Secure Score hittar du mer information om hur din organisation kan använda den här funktionen för att prioritera åtgärder som är baserade på deras miljö.

SÅ HÄR utför DU utpressningstrojaner

Du bör vidta alla åtgärder för att avgöra hur de adversa har fått åtkomst till dina tillgångar, så att svagheter kan åtgärdas. Annars är det mycket troligt att samma typ av attack kommer att ske igen i framtiden. I vissa fall tar hotspelaren steg för att täcka sina spår och förstöra bevisen, så att hela kedjan med händelser kanske inte blir tydligt.

Följande är tre huvudsteg i SÅ HÄR-undersökningar om SÅ här utpressningstrojaner:

Steg 1. Gör en utvärdering av den aktuella situationen

En bedömning av den aktuella situationen är viktig för att förstå händelsens omfattning och för att avgöra vilka personer som är bäst att hjälpa till och planera och utvidga undersökningen och åtgärder. Att ställa följande inledande frågor är avgörande för att avgöra situationen.

Vad var du först med om utpressningstrojanattacken?

Om de initiala hoten har identifierats av IT-personalen – till exempel genom att se säkerhetskopior som tas bort, antivirusvarningar, identifiering och åtgärd på slutpunkt-aviseringar (Identifiering och åtgärd på slutpunkt) eller ändringar i misstänkta system – går det ofta att vidta snabbåtgärder för att hindra attacken, vanligtvis genom att inaktivera alla inkommande och utgående Internetkommunikation. Detta kan tillfälligt påverka affärsåtgärder, men det skulle vanligtvis vara mycket mindre effektfullt än en adversär distribuerad utpressningstrojan.

Om hot identifieras av ett användarsamtal till IT-supporten kan det finnas tillräckligt med förhandsvarning för att vidta förebyggande åtgärder för att förhindra eller minimera effekterna av attacken. Om risken har identifierats av en extern enhet (som lag eller ekonomisk institution) är det sannolikt att skadan redan har skett och du kommer att se bevis i din miljö att hotoperatören redan har fått administrativ kontroll över nätverket. Detta kan variera från utpressningstrojaner, låsta skärmar eller krav på utpressningstrojaner.

Vilket datum/tid fick du första gången lära dig om händelsen?

Det är viktigt att fastställa datumet och tiden för den initiala aktiviteten eftersom det hjälper till att begränsa omfattningen av den första triangeln för att snabbt vinna attackeret. Ytterligare frågor kan vara:

• Vilka uppdateringar saknades på det datumet? Detta är viktigt för att förstå vilka svagheter som kan ha utnyttjas av adversaryen.
• Vilka konton användes då?
• Vilka nya konton har skapats sedan det datumet?

Vilka loggar är tillgängliga och finns det någon indikation om att aktören använder system?

Loggar – som antivirus, Identifiering och åtgärd på slutpunkt och virtuellt privat nätverk (VPN) – är en indikator på misstänkt kompromiss. Uppföljningsfrågor kan omfatta:

• Sammanställs loggar i en lösning för säkerhetsinformation och händelsehantering (SIEM) – till exempel Microsoft Sentinel,Splunk, ArcSight med flera – och aktuella? Hur lång är lagringstiden för dessa data?
• Finns det något misstänkt komprometterat system som genomgår ovanlig aktivitet?
• Finns det några misstänkta komprometterade konton som verkar vara aktiva för att användas av någon?
• Finns det några bevis för aktiva kommandon och kontroller (C2s) i Identifiering och åtgärd på slutpunkt, brandvägg, VPN, webbproxy och andra loggar?

När du utvärderar den aktuella situationen kan du behöva en AD DS-domänkontrollant (Active Directory Domain Services) som inte har komprometterats, en säkerhetskopia av en domänkontrollant eller en nyligen genomförd domänkontrollant som tagits offline för underhåll eller uppgraderingar. Avgör även om multifaktorautentisering (MFA) krävdes för alla i företaget och om Azure Active Directory (Azure AD) användes.

Steg 2. Identifiera de affärsprogram som inte är tillgängliga på grund av incidenten

Det här steget är viktigt för att ta reda på det snabbaste sättet att få system online samtidigt som de bevis som krävs krävs.

Kräver programmet en identitet?

• Hur utförs autentisering?
• Hur lagras och hanteras autentiseringsuppgifter som certifikat eller hemligheter?

Testas säkerhetskopior av programmet, konfigurationen och data som är tillgängliga?

Verifieras innehållet och integriteten för säkerhetskopior regelbundet med hjälp av en återställningsövning? Det här är särskilt viktigt efter ändringar av konfigurationshantering eller versionsuppgraderingar.

Steg 3. Fastställa återställningsprocessen för kompromettering

Det här steget kan vara nödvändigt om du har fastställt att kontrollsystemet, som vanligtvis är AD DS, har komprometterats.

Din undersökning bör alltid ha som mål att tillhandahålla utdata som matas direkt i CR-processen. CR är den process som tar bort attackerskontroll från en miljö och förhoppningsvis ökar säkerheten inom en viss tidsperiod. CR sker efter säkerhetsöverträdelse. Om du vill veta mer om CR kan du läsa Microsoft Compromise Recovery Security Practice-teamets CRSP: Nödteamet som bekämpar cyberattacker bredvid kundernas bloggartikel.

När du har samlat svaren på frågorna ovan kan du skapa en lista med uppgifter och tilldela ägare. En viktig faktor för ett framgångsrikt svar på incidenter är noggrann, detaljerad dokumentation om varje arbetsobjekt (t.ex. ägaren, status, resultat, datum och tid), vilket gör sammanställningen av resultaten i slutet av åtagandet en enkel process.

TIPS och metodtips

Här är rekommendationer och metodtips för inneslutning och efter incidentaktiviteter från ÄRA.

Inneslutning

Inneslutning kan bara ske när analysen har fastställt vad som behöver finnas. När det gäller utpressningstrojaner är adversarys mål att skaffa autentiseringsuppgifter som tillåter administrativ kontroll över en tillgänglig server och sedan distribuera utpressningstrojanen. I vissa fall identifierar hot kan aktören identifiera känsliga data och föra över dem till en plats som de kontrollerar.

Det är viktigt att återställningen är unik för organisationens miljö, bransch och nivå av IT-expertis och -upplevelse. Stegen som beskrivs nedan rekommenderas för korta och strategiska inneslutningssteg som organisationen kan vidta. Mer information om långsiktiga riktlinjer finns i Skydda privilegierad åtkomst. En omfattande vy av utpressningstrojaner och extorisering och hur du förbereder och skyddar din organisation finns i Human-operated ransomware.

De här inneslutningsstegen kan utföras samtidigt som nya hotvektorer upptäcks:

• Steg 1: Utvärdera situationens omfattning

  • Vilka användarkonton har komprometterats?

  • Vilka enheter påverkas?

  • Vilka program påverkas?

• Steg 2: Behåll befintliga system

  • Inaktivera alla behöriga användarkonton utom för ett litet antal konton som används av administratörerna för att hjälpa dig återställa integriteten för AD DS-infrastrukturen. Om ett användarkonto tror att det har komprometterats inaktiverar du det direkt.

  • Isolera komprometterade system från nätverket, men stäng inte av dem.

  • Isolera minst en känd domänkontrollant i varje domän – två är ännu bättre. Antingen kopplar du bort dem från nätverket eller stänger av dem helt. Objektet här är att stoppa uppslaget av utpressningstrojaner till kritiska system – identiteten är bland de mest sårbara. Om alla domänkontrollanter är virtuella säkerhetskopieras virtualiseringsplattformens system och dataenheter till externa offlinemedia som inte är anslutna till nätverket om virtualiseringsplattformen är komprometterad.

  • Isolera viktiga kända programservrar, till exempel SAP, konfigurationshanteringsdatabas (CMDB), fakturerings- och redovisningssystem.

Dessa två steg kan utföras samtidigt som nya hotvektorer upptäcks. Inaktivera dessa hotvektorer och försök sedan hitta ett känt bra system att isolera från nätverket.

Andra strategiska inneslutningsåtgärder kan vara:

• Återställ krbt-lösenordet , tvågånger i snabb följd. Överväg att använda en skriptförlopp som kan upprepas. Med det här skriptet kan du återställa lösenordet för krbt-kontot och relaterade nycklar samtidigt som sannolikheten för Kerberos-autentiseringsproblem minimeras. För att minimera potentiella problem kan livslängden i krbt minskas en eller flera gånger innan det första lösenordet återställs så att de två återställningarna görs snabbt. Observera att alla domänkontrollanter som du planerar att behålla i din miljö måste vara online.

• Distribuera en grupprincip till hela domäner som förhindrar behörig inloggning (domänadministratörer) till allt annat än domänkontrollanter och privilegierade arbetsstationer med endast administrativa domäner (om det finns några).

• Installera alla säkerhetsuppdateringar som saknas för operativsystem och program. Varje uppdatering som saknas är en potentiell vektor som adversaries snabbt kan identifiera och utnyttja. Microsoft Defender för Endpoints hot- och sårbarhetshantering är ett enkelt sätt att se exakt vad som saknas – liksom den potentiella påverkan som saknas av de uppdateringar som saknas.

  • För Windows 10 (eller senare) enheter bekräftar du att den aktuella versionen (eller n-1) körs på varje enhet.

  • Använd ASR-regler (attack surface reduction) för att förhindra skadlig skadlig smitta.

  • Aktivera alla Windows 10 säkerhetsfunktioner.

• Kontrollera att alla externa program, inklusive VPN-åtkomst, skyddas med multifaktorautentisering, helst med ett autentiseringsprogram som körs på en säker enhet.

• För enheter som inte använder Defender för Slutpunkt som primärt antivirusprogram kör du en fullständig genomsökning med Microsoft Safety Scanner på isolerade kända bra system innan du återansluter dem till nätverket.

• Uppgradera till ett operativsystem som stöds eller inaktivera dessa enheter för alla äldre operativsystem. Om de här alternativen inte är tillgängliga bör du vidta alla möjliga åtgärder för att isolera dessa enheter, inklusive nätverks-/VLAN-avgränsning, IPsec-regler (Internet Protocol) och inloggningsbegränsningar, så att de bara är tillgängliga för programmen av användare/enheter för affärskontinuering.

De riskfyllda konfigurationerna består av att köra verksamhetskritiska system på äldre operativsystem som gamla som Windows NT 4.0 och program, allt på äldre maskinvara. Dessa operativsystem och program är inte bara osäkra och sårbara, och om maskinvaran inte fungerar kan säkerhetskopior vanligtvis inte återställas på modern maskinvara. Om ingen äldre maskinvara ersätts, upphör dessa program att fungera. Överväg att konvertera de här programmen så att de kan köras på aktuella operativsystem och maskinvara.

Aktiviteter efter incidenter

SEKRETESS rekommenderar att följande säkerhetsrekommendationer och metodtips implementeras efter varje incident.

• Se till att bästa praxis finns för e-post- och samarbetslösningar för att göra det svårare för attackerare att använda dem, samtidigt som interna användare får åtkomst till externt innehåll på ett enkelt och säkert sätt.

• Följ Metodtips för Noll förtroende-säkerhet för lösningar med fjärråtkomst till interna organisationsresurser.

• Från och med viktiga användare följer du metodtips för kontosäkerhet, bland annat genom att använda lösenordslös autentisering eller MFA.

• Implementera en omfattande strategi för att minska risken för en behörighetskompromett.

  • För administrativ åtkomst i molnet och skogar/domäner använder du Microsofts modell för privilegierad åtkomst (PAM).

  • För slutpunkts administrativ hantering använder du den lokala administrativa lösenordslösningen (LAPS).

• Implementera dataskydd för att blockera utpressningstrojaner och bekräfta snabb och tillförlitlig återställning från en attack.

• Granska dina kritiska system. Sök efter skydd och säkerhetskopior mot avsiktliga attacker eller kryptering. Det är viktigt att du regelbundet testar och verifierar dessa säkerhetskopior.

• Säkerställa snabb identifiering och åtgärd av vanliga attacker mot slutpunkt, e-post och identitet.

• Att aktivt upptäcka och kontinuerligt förbättra säkerheten i din miljö.

• Uppdatera organisationsprocesser för att hantera stora utpressningstrojaner och effektivisera arbetet för att undvika friktion.

PAM

Användning av PAM (kallades tidigare för tiered administration model) förbättrar Säkerheten för Azure AD. Detta omfattar:

• Att dela upp administrativa konton i en "planad" miljö – ett konto för varje nivå, vanligtvis fyra:

• Kontrollplan (tidigare nivå 0): Administration av domänkontrollanter och andra nödvändiga identitetstjänster, till exempel ADFS (Active Directory Federation Services) eller Azure AD Anslut. Detta omfattar även serverprogram som kräver administrativ behörighet till AD DS, till exempel Exchange Server.

• De följande två planen var tidigare nivå 1:

  • Hanteringsplan: Tillgångshantering, övervakning och säkerhet.

  • Data/arbetsbelastningar: Program och programservrar.

• De följande två planen var tidigare nivå 2:

  • Användaråtkomst: Åtkomstbehörigheter för användare (till exempel konton).

  • Appåtkomst: Åtkomstbehörigheter för program.

• Var och en av dessa plan har en separat administrativ arbetsstation för varje plan och kommer bara att ha åtkomst till system i det planet. Andra konton från andra planen nekas åtkomst till arbetsstationer och servrar i de andra planen via användarrättigheter som anges till dessa datorer.

Nettoresultatet för PAM är följande:

• Ett komprometterat användarkonto har bara åtkomst till planet som det tillhör.

• Känsliga användarkonton kommer inte att loggas in på arbetsstationer och servrar med lägre säkerhetsnivå, vilket minskar rörelse för användaren.

LAPS

Som standard har Microsoft Windows och AD DS ingen centraliserad hantering av lokala administrativa konton på arbetsstationer och medlemsservrar. Det leder vanligtvis till ett vanligt lösenord som ges för alla dessa lokala konton, eller åtminstone i grupper av datorer. Det här gör att attacker kan göra att ett lokalt administratörskonto komprometterar och använder sedan kontot för att få åtkomst till andra arbetsstationer eller servrar i organisationen.

Microsofts LAPS minimerar detta genom att använda ett grupprinciptillägg på klientsidan som ändrar det lokala administratörslösenordet regelbundet på arbetsstationer och servrar i enlighet med principuppsättningen. Var och en av dessa lösenord är olika och lagras som ett attribut i AD DS-datorobjektet. Det här attributet kan hämtas från ett enkelt klientprogram, beroende på vilka behörigheter som tilldelats attributet.

LAPS kräver att AD DS-schemat utökas så att det ytterligare attributet, grupprincipmallarna för LAPS installeras och ett litet tillägg på klientsidan som installeras på alla arbetsstationer och medlemsservrar för att ge klientsidans funktionalitet.

Du kan hämta LAPS från Microsoft Download Center.

Spelböcker för incidentsvar

Undersöka vägledning för att identifiera och undersöka dessa typer av attacker:

• Nätfiske
• Lösenord lösenord
• Bevilja appmedgivande

Resurser för incidentsvar

• Översikt över Microsofts säkerhetsprodukter och resurser för nya roller och erfarna analytiker
• Planering för säkerhetsoperationscentret (SOC)
• Process för rekommendationer och metodtips för incidentsvarsprocessen
• Microsoft 365 Defender incidentsvar
• Svar på Microsoft Sentinel-incidenter