Microsoft DART ransomware-metod och metodtips

Utpressningstrojaner som drivs av människor är inte ett skadligt programvaruproblem – det är ett mänskligt kriminellt problem. Lösningarna som används för att ta itu med råvaruproblem räcker inte för att förhindra ett hot som mer liknar en aktör med nationellt hot som:

  • Inaktiverar eller avinstallerar ditt antivirusprogram innan filer krypteras
  • Inaktiverar säkerhetstjänster och loggning för att undvika identifiering
  • Letar upp och skadar eller tar bort säkerhetskopior innan ett krav på lösensumma skickas

Dessa åtgärder utförs ofta med legitima program som du kanske redan har i din miljö för administrativa ändamål. I kriminella händer används dessa verktyg på ett skadligt sätt för att utföra attacker.

Att svara på det ökande hotet om utpressningstrojaner kräver en kombination av modern företagskonfiguration, uppdaterade säkerhetsprodukter och vaksamhet hos utbildad säkerhetspersonal för att identifiera och svara på hoten innan data går förlorade.

Microsofts team för identifiering och svar (DART) svarar på säkerhetsintrång för att hjälpa kunderna att bli cybertåliga. DART tillhandahåller reaktiv incidenthantering på plats och proaktiva fjärrundersökningar. DART utnyttjar Microsofts strategiska samarbeten med säkerhetsorganisationer runt om i världen och interna Microsoft-produktgrupper för att tillhandahålla en så fullständig och grundlig undersökning som möjligt.

Den här artikeln beskriver hur DART hanterar utpressningstrojanattacker för Microsoft-kunder så att du kan överväga att tillämpa delar av deras tillvägagångssätt och metodtips för din egen spelbok om säkerhetsåtgärder.

Mer information finns i de här avsnitten:

Så använder DART Microsofts säkerhetstjänster

DART är starkt beroende av data för alla undersökningar och använder befintliga distributioner av Microsoft-säkerhetstjänster som Microsoft Defender för Office 365, Microsoft Defender för Endpoint, Microsoft Defender för identitet och Microsoft Defender för Molnappar.

Defender för Endpoint

Defender för Endpoint är Microsofts säkerhetsplattform för företagsslutpunkter som har utformats för att hjälpa företagets nätverkssäkerhetsanalytiker att förhindra, identifiera, undersöka och svara på avancerade hot. Defender för Endpoint kan identifiera attacker med hjälp av avancerad beteendeanalys och maskininlärning. Dina analytiker kan använda Defender för Endpoint för analys av angripares beteende.

Här är ett exempel på en avisering i Microsoft Defender för Endpoint för en pass-the-ticket-attack.

Example of an alert in Microsoft Defender for Endpoint for a pass-the-ticket attack

Dina analytiker kan också utföra avancerade jaktfrågor för att pivotera indikatorer för kompromisser (IOPS) eller söka efter känt beteende om de identifierar en hotaktörsgrupp.

Här är ett exempel på hur avancerade jaktfrågor kan användas för att hitta kända attacker.

An example of an advanced hunting query.

I Defender för Endpoint har du åtkomst till en övervaknings- och analystjänst på expertnivå i realtid av Microsoft Threat Experts för pågående misstänkt aktörsaktivitet. Du kan också samarbeta med experter på begäran för ytterligare insikter om aviseringar och incidenter.

Här är ett exempel på hur Defender för Endpoint visar detaljerad utpressningstrojanaktivitet.

Example of how Defender for Endpoint shows detailed ransomware activity.

Defender for Identity

Du använder Defender for Identity för att undersöka kända komprometterade konton och hitta potentiellt komprometterade konton i din organisation. Defender for Identity skickar aviseringar för känd skadlig aktivitet som aktörer ofta använder, till exempel DCSync-attacker, försök till körning av fjärrkod och pass-the-hash-attacker. Med Defender for Identity kan du hitta misstänkt aktivitet och konton för att begränsa undersökningen.

Här är ett exempel på hur Defender for Identity skickar aviseringar för känd skadlig aktivitet relaterad till utpressningstrojanattacker.

An example of how Defender for Identity sends alerts for ransomware attacks

Defender för Cloud Apps

Med Defender for Cloud Apps (kallades tidigare Microsoft Defender för Molnappar) kan dina analytiker identifiera ovanligt beteende i molnappar för att identifiera utpressningstrojaner, komprometterade användare eller oseriösa program. Defender for Cloud Apps är Microsofts CASB-lösning (Cloud Access Security Broker) som möjliggör övervakning av molntjänster och dataåtkomst i molntjänster av användare.

Här är ett exempel på instrumentpanelen defender för molnappar, som gör det möjligt för analys att identifiera ovanligt beteende i molnappar.

an example of the Defender for Cloud Apps dashboard.

Microsoft Secure Score

Uppsättningen microsoft 365 Defender-tjänster ger rekommendationer för direktreparation för att minska attackytan. Microsoft Secure Score är ett mått på en organisations säkerhetsstatus, med ett högre antal som anger att fler förbättringsåtgärder har vidtagits. Se dokumentationen om säkerhetspoäng för att ta reda på mer om hur din organisation kan använda den här funktionen för att prioritera reparationsåtgärder som baseras på deras miljö.

DART-metoden för att genomföra undersökningar av utpressningstrojanincidenter

Du bör göra allt för att fastställa hur angriparen fick åtkomst till dina tillgångar så att sårbarheter kan åtgärdas. Annars är det mycket troligt att samma typ av attack kommer att äga rum igen i framtiden. I vissa fall vidtar hotskådespelaren åtgärder för att dölja sina spår och förstöra bevis, så det är möjligt att hela händelsekedjan kanske inte är uppenbar.

Följande är tre viktiga steg i dart ransomware undersökningar:

Steg Mål Inledande frågor
1. Utvärdera den nuvarande situationen Förstå omfånget Vad gjorde dig först medveten om en utpressningstrojanattack?

Vilken tid/datum lärde du dig först om incidenten?

Vilka loggar är tillgängliga och finns det något som tyder på att aktören för närvarande har åtkomst till system?
2. Identifiera de berörda verksamhetsspecifika apparna (LOB) Få system online igen Kräver programmet en identitet?

Är säkerhetskopior av programmet, konfigurationen och data tillgängliga?

Verifieras innehållet och integriteten för säkerhetskopior regelbundet med hjälp av en återställningsövning?
3. Fastställ processen för återställning av kompromisser (CR) Ta bort angriparens kontroll från miljön Ej tillämpligt

Steg 1. Utvärdera den aktuella situationen

En bedömning av den aktuella situationen är viktig för att förstå incidentens omfattning och för att fastställa vilka personer som är bäst på att hjälpa till och planera och begränsa undersöknings- och reparationsuppgifterna. Att ställa följande inledande frågor är avgörande för att hjälpa till att fastställa situationen.

Vad gjorde dig först medveten om utpressningstrojanattacken?

Om det första hotet har identifierats av IT-personalen, till exempel att säkerhetskopior tas bort, antivirusaviseringar, aviseringar om slutpunktsidentifiering och svar (EDR) eller misstänkta systemändringar, är det ofta möjligt att vidta snabba beslutsamma åtgärder för att förhindra attacken, vanligtvis genom att inaktivera all inkommande och utgående Internetkommunikation. Detta kan tillfälligt påverka verksamheten, men det skulle vanligtvis vara mycket mindre effektfullt än en angripare som distribuerar utpressningstrojaner.

Om hotet identifierades av ett användarsamtal till IT-supportavdelningen kan det finnas tillräckligt med förvarning för att vidta defensiva åtgärder för att förhindra eller minimera effekterna av attacken. Om hotet har identifierats av en extern enhet (t.ex. brottsbekämpning eller ett finansinstitut) är det troligt att skadan redan har utförts, och du kommer att se bevis i din miljö för att hotskådespelaren redan har fått administrativ kontroll över nätverket. Detta kan vara allt från utpressningstrojaner, låsta skärmar eller krav på lösensumma.

Vilket datum/vilken tid lärde du dig först om incidenten?

Det är viktigt att fastställa datum och tid för den inledande aktiviteten eftersom det hjälper till att begränsa omfattningen av den inledande prioriteringen för snabba vinster av angriparen. Ytterligare frågor kan vara:

  • Vilka uppdateringar saknades på det datumet? Detta är viktigt för att förstå vilka sårbarheter som kan ha utnyttjats av angriparen.
  • Vilka konton användes på det datumet?
  • Vilka nya konton har skapats sedan det datumet?

Vilka loggar är tillgängliga och finns det något som tyder på att aktören för närvarande har åtkomst till system?

Loggar – till exempel antivirus, EDR och virtuellt privat nätverk (VPN) – är en indikator på misstänkt kompromiss. Uppföljningsfrågor kan omfatta:

  • Aggregeras loggar i en SIEM-lösning (Security Information and Event Management), till exempel Microsoft Sentinel, Splunk, ArcSight och andra, och är de aktuella? Vad är kvarhållningsperioden för dessa data?
  • Finns det några misstänkta komprometterade system som upplever ovanlig aktivitet?
  • Finns det några misstänkt komprometterade konton som verkar användas aktivt av angriparen?
  • Finns det några bevis för aktiva kommandon och kontroller (C2s) i EDR, brandvägg, VPN, webbproxy och andra loggar?

Som en del av utvärderingen av den aktuella situationen kan du behöva en Domänkontrollant för Active Directory Domain Services (AD DS) som inte komprometterades, en nyligen utförd säkerhetskopiering av en domänkontrollant eller en ny domänkontrollant som tagits offline för underhåll eller uppgraderingar. Kontrollera också om multifaktorautentisering (MFA) krävdes för alla i företaget och om Azure Active Directory (Azure AD) användes.

Steg 2. Identifiera LOB-appar som inte är tillgängliga på grund av incidenten

Det här steget är avgörande för att ta reda på det snabbaste sättet att få system online igen samtidigt som de bevis som krävs hämtas.

Kräver programmet en identitet?

  • Hur utförs autentisering?
  • Hur lagras och hanteras autentiseringsuppgifter som certifikat eller hemligheter?

Är testade säkerhetskopior av programmet, konfigurationen och data tillgängliga?

  • Verifieras innehållet och integriteten i säkerhetskopior regelbundet med hjälp av en återställningsövning? Detta är särskilt viktigt när konfigurationshantering ändras eller versionsuppgraderingar.

Steg 3. Fastställa återställningsprocessen för kompromisser

Det här steget kan vara nödvändigt om du har fastställt att kontrollplanet, som vanligtvis är AD DS, har komprometterats.

Din undersökning bör alltid ha som mål att tillhandahålla utdata som matar in direkt i CR-processen. CR är den process som tar bort angriparens kontroll från en miljö och taktiskt ökar säkerhetsstatusen inom en viss tidsperiod. CR sker efter säkerhetsöverträdelse. Mer information om CR finns i bloggartikeln CRSP: The emergency team fighting cyber attacks beside customers (Microsoft Compromise Recovery Security Practice-teamets CRSP: The emergency team fighting cyber attacks beside customers ).

När du har samlat svaren på frågorna ovan kan du skapa en lista över uppgifter och tilldela ägare. En viktig faktor för ett lyckat incidenthanteringsengagemang är noggrann och detaljerad dokumentation för varje arbetsobjekt (till exempel ägare, status, resultat, datum och tid), vilket gör sammanställningen av resultaten i slutet av åtagandet till en enkel process.

DART-rekommendationer och metodtips

Här är DART:s rekommendationer och metodtips för inneslutning och aktiviteter efter incident.

Behållare

Inneslutning kan bara ske när analysen har fastställt vad som behöver finnas. När det gäller utpressningstrojaner är angriparens mål att hämta autentiseringsuppgifter som tillåter administrativ kontroll över en server med hög tillgänglighet och sedan distribuerar utpressningstrojaner. I vissa fall identifierar hotskådespelaren känsliga data och exfilterar dem till en plats som de kontrollerar.

Taktisk återhämtning kommer att vara unikt för din organisations miljö, bransch och nivå av IT-expertis och erfarenhet. Stegen som beskrivs nedan rekommenderas för kortsiktiga och taktiska inneslutningssteg som din organisation kan vidta. Mer information om långsiktig vägledning finns i Skydda privilegierad åtkomst. En omfattande vy över utpressningstrojaner och utpressning och hur du förbereder och skyddar din organisation finns i Utpressningstrojaner som drivs av människor.

Följande inneslutningssteg kan utföras samtidigt som nya hotvektorer identifieras.

Steg 1: Utvärdera situationens omfattning

  • Vilka användarkonton har komprometterats?
  • Vilka enheter påverkas?
  • Vilka program påverkas?

Steg 2: Bevara befintliga system

  • Inaktivera alla privilegierade användarkonton förutom ett litet antal konton som används av dina administratörer för att återställa integriteten i AD DS-infrastrukturen. Om ett användarkonto tros vara komprometterat inaktiverar du det omedelbart.
  • Isolera komprometterade system från nätverket, men stäng inte av dem.
  • Isolera minst en känd bra domänkontrollant i varje domän – två är ännu bättre. Koppla antingen bort dem från nätverket eller stäng av dem helt. Syftet här är att stoppa spridningen av utpressningstrojaner till kritiska system – identiteten är bland de mest sårbara. Om alla domänkontrollanter är virtuella kontrollerar du att virtualiseringsplattformens system och dataenheter säkerhetskopieras till externa offlinemedier som inte är anslutna till nätverket, om själva virtualiseringsplattformen komprometteras.
  • Isolera kritiska kända bra programservrar, till exempel SAP, konfigurationshanteringsdatabas (CMDB), fakturerings- och redovisningssystem.

Dessa två steg kan utföras samtidigt som nya hotvektorer identifieras. Inaktivera dessa hotvektorer och försök sedan hitta ett fungerande system för att isolera från nätverket.

Andra taktiska inneslutningsåtgärder kan vara:

  • Återställ krbtgt-lösenordet två gånger i snabb följd. Överväg att använda en skriptad, repeterbar process. Med det här skriptet kan du återställa krbtgt-kontots lösenord och relaterade nycklar samtidigt som du minimerar sannolikheten för kerberos-autentiseringsproblem som orsakas av åtgärden. För att minimera potentiella problem kan livslängden för krbtgt minskas en eller flera gånger före den första lösenordsåterställningen så att de två återställningarna görs snabbt. Observera att alla domänkontrollanter som du planerar att behålla i din miljö måste vara online.

  • Distribuera en grupprincip till hela domänerna som förhindrar privilegierad inloggning (domänadministratörer) till allt annat än domänkontrollanter och privilegierade arbetsstationer (om sådan finns).

  • Installera alla saknade säkerhetsuppdateringar för operativsystem och program. Varje uppdatering som saknas är en potentiell hotvektor som angripare snabbt kan identifiera och utnyttja. Hot- och sårbarhetshantering i Microsoft Defender för Endpoint är ett enkelt sätt att se exakt vad som saknas, samt den potentiella effekten av de saknade uppdateringarna.

  • Kontrollera att alla externa program, inklusive VPN-åtkomst, skyddas med multifaktorautentisering, helst med hjälp av ett autentiseringsprogram som körs på en skyddad enhet.

  • För enheter som inte använder Defender för Endpoint som primärt antivirusprogram kör du en fullständig genomsökning med Microsoft Safety Scanner på isolerade fungerande system innan du återansluter dem till nätverket.

  • För äldre operativsystem uppgraderar du till ett operativsystem som stöds eller inaktiverar dessa enheter. Om dessa alternativ inte är tillgängliga kan du vidta alla möjliga åtgärder för att isolera dessa enheter, inklusive nätverks-/VLAN-isolering, IPsec-regler (Internet Protocol Security) och inloggningsbegränsningar, så att de endast är tillgängliga för programmen av användarna/enheterna för att tillhandahålla affärskontinuitet.

De mest riskfyllda konfigurationerna består av att köra verksamhetskritiska system på äldre operativsystem så gamla som Windows NT 4.0 och program, allt på äldre maskinvara. Dessa operativsystem och program är inte bara osäkra och sårbara. Om maskinvaran misslyckas kan säkerhetskopieringar vanligtvis inte återställas på modern maskinvara. Om inte ersättning av äldre maskinvara är tillgänglig upphör dessa program att fungera. Överväg att konvertera dessa program så att de körs på aktuella operativsystem och maskinvara.

Aktiviteter efter incident

DART rekommenderar att du implementerar följande säkerhetsrekommendationer och metodtips efter varje incident.

  • Se till att det finns metodtips för e-post och samarbetslösningar för att göra det svårare för angripare att missbruka dem samtidigt som interna användare enkelt och säkert kan komma åt externt innehåll.

  • Följ metodtipsen för Noll förtroende-säkerhet för fjärråtkomstlösningar till interna organisationsresurser.

  • Börja med administratörer med kritisk påverkan och följ metodtipsen för kontosäkerhet, inklusive användning av lösenordsfri autentisering eller MFA.

  • Implementera en omfattande strategi för att minska risken för att privilegierad åtkomst komprometteras.

  • Implementera dataskydd för att blockera tekniker för utpressningstrojaner och för att bekräfta snabb och tillförlitlig återställning från en attack.

  • Granska dina kritiska system. Sök efter skydd och säkerhetskopior mot avsiktlig radering eller kryptering av angripare. Det är viktigt att du regelbundet testar och validerar dessa säkerhetskopior.

  • Säkerställ snabb identifiering och reparation av vanliga attacker på slutpunkt, e-post och identitet.

  • Identifiera och kontinuerligt förbättra din miljös säkerhetsstatus.

  • Uppdatera organisationens processer för att hantera större utpressningstrojanhändelser och effektivisera outsourcing för att undvika friktion.

PAM

Användning av PAM (kallades tidigare den nivåindelade administrationsmodellen) förbättrar Azure AD:s säkerhetsstatus. Detta omfattar:

  • Dela upp administrativa konton i en "planad" miljö – ett konto för varje nivå, vanligtvis fyra:

  • Kontrollplan (tidigare nivå 0): Administration av domänkontrollanter och andra viktiga identitetstjänster, till exempel Active Directory Federation Services (ADFS) eller Azure AD Connect. Detta omfattar även serverprogram som kräver administrativ behörighet till AD DS, till exempel Exchange Server.

  • De följande två planen var tidigare nivå 1:

    • Hanteringsplan: Tillgångshantering, övervakning och säkerhet.

    • Data/arbetsbelastningsplan: Program och programservrar.

  • De följande två planen var tidigare nivå 2:

    • Användaråtkomst: Åtkomstbehörigheter för användare (till exempel konton).

    • Appåtkomst: Åtkomstbehörigheter för program.

  • Vart och ett av dessa plan har en separat administrativ arbetsstation för varje plan och har endast åtkomst till system i det planet. Andra konton från andra plan nekas åtkomst till arbetsstationer och servrar i de andra planen via tilldelningar av användarrättigheter som angetts till dessa datorer.

Nettoresultatet av PAM är att:

  • Ett komprometterat användarkonto har bara åtkomst till det plan som det tillhör.

  • Känsligare användarkonton loggar inte in på arbetsstationer och servrar med en lägre säkerhetsnivå, vilket minskar lateral förflyttning.

VARV

Som standard har Microsoft Windows och AD DS ingen centraliserad hantering av lokala administrativa konton på arbetsstationer och medlemsservrar. Detta resulterar vanligtvis i ett vanligt lösenord som ges för alla dessa lokala konton, eller åtminstone i grupper av datorer. Detta gör det möjligt för potentiella angripare att kompromettera ett lokalt administratörskonto och sedan använda det kontot för att få åtkomst till andra arbetsstationer eller servrar i organisationen.

Microsofts LAPS minskar detta genom att använda ett tillägg på klientsidan för grupprinciper som ändrar det lokala administrativa lösenordet med jämna mellanrum på arbetsstationer och servrar enligt principuppsättningen. Vart och ett av dessa lösenord är olika och lagras som ett attribut i AD DS-datorobjektet. Det här attributet kan hämtas från ett enkelt klientprogram, beroende på vilka behörigheter som tilldelats till attributet.

LAPS kräver att AD DS-schemat utökas för att det ytterligare attributet, LAPS-grupprincipmallarna ska installeras och ett litet tillägg på klientsidan som ska installeras på varje arbetsstation och medlemsserver för att tillhandahålla funktioner på klientsidan.

Du kan hämta LAPS från Microsoft Download Center.

Spelböcker för incidenthantering

Granska vägledningen för att identifiera och undersöka dessa typer av attacker:

Resurser för incidenthantering

Ytterligare resurser för utpressningstrojan

Viktig information från Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender för Cloud Apps:

Blogginlägg från Microsoft Security-teamet: