Microsoft DART 勒索软件方法和最佳做法

人为操作的勒索软件 不是恶意软件问题,这是一个人类犯罪问题。 用于解决商品问题的解决方案不足以防止更类似于国家/国家威胁参与者的威胁:

  • 在加密文件之前禁用或卸载防病毒软件
  • 禁用安全服务和日志记录以避免检测
  • 在发送赎金要求之前查找和损坏或删除备份

这些操作通常由你可能在环境中已有的合法程序来完成,以便进行管理。 在犯罪手中,这些工具被恶意用于执行攻击。

响应勒索软件日益严重的威胁需要现代企业配置、最新的安全产品以及经过培训的安全人员在数据丢失之前检测和响应威胁的警惕。

Microsoft 检测和响应团队 (DART) 响应安全威胁,以帮助客户变得具有网络弹性。 DART 提供现场反应事件响应和远程主动调查。 DART 利用 Microsoft 与世界各地的安全组织和内部 Microsoft 产品组的战略合作关系,尽可能提供最完整的彻底调查。

本文介绍 DART 如何处理 Microsoft 客户的勒索软件攻击,以便你可以考虑为自己的安全操作 playbook 应用其方法和最佳做法的元素。

有关详细信息,请参阅以下部分:

注意

本文内容派生自 打击人工操作勒索软件指南:第 1 部分打击人工操作勒索软件指南:第 2 部分 Microsoft 安全团队博客文章。

DART 如何使用 Microsoft 安全服务

DART 依赖于所有调查的数据,并使用 Microsoft Defender for Office 365Microsoft Defender for EndpointMicrosoft Defender for IdentityMicrosoft Defender for Cloud Apps 等 Microsoft 安全服务的现有部署。

Defender for Endpoint

Defender for Endpoint 是 Microsoft 的企业终结点安全平台,旨在帮助企业网络安全分析师防止、检测、调查和响应高级威胁。 Defender for Endpoint 可以使用高级行为分析和机器学习来检测攻击。 分析人员可以使用 Defender for Endpoint 进行攻击者行为分析。

下面是 Microsoft Defender for Endpoint 中用于传递票证攻击的警报示例。

Example of an alert in Microsoft Defender for Endpoint for a pass-the-ticket attack

分析人员还可以执行高级搜寻查询,以透视 (IOC) 或搜索已知行为的指标(如果他们识别威胁参与者组)。

下面是如何使用高级搜寻查询来查找已知攻击者行为的示例。

An example of an advanced hunting query.

在 Defender for Endpoint 中,你有权访问 Microsoft 威胁专家持续可疑的参与者活动的实时专家级监视和分析服务。 还可以按需与专家协作,深入了解警报和事件。

下面是 Defender for Endpoint 如何显示详细的勒索软件活动的示例。

Example of how Defender for Endpoint shows detailed ransomware activity.

Defender for Identity

使用 Defender for Identity 调查已知已泄露的帐户,并查找组织中可能泄露的帐户。 Defender for Identity 针对执行组件经常使用的已知恶意活动发送警报,例如 DCSync 攻击、远程代码执行尝试和传递哈希攻击。 Defender for Identity 使你能够查明可疑活动和帐户,以缩小调查范围。

下面是 Defender for Identity 如何发送与勒索软件攻击相关的已知恶意活动的警报的示例。

An example of how Defender for Identity sends alerts for ransomware attacks

Defender for Cloud Apps

Defender for Cloud Apps (以前称为 Microsoft Defender for Cloud Apps) 允许分析人员检测跨云应用的异常行为,以识别勒索软件、泄露的用户或流氓应用程序。 Defender for Cloud Apps 是 Microsoft 的云访问安全代理 (CASB) 解决方案,可让用户监视云服务和数据访问。

下面是 Defender for Cloud Apps 仪表板的示例,它允许分析跨云应用检测异常行为。

an example of the Defender for Cloud Apps dashboard.

Microsoft 安全功能分数

Microsoft 365 Defender 服务集提供实时修正建议,以减少攻击面。 Microsoft 安全功能分数是组织安全状况的度量值,数字更高,表明已采取更多改进措施。 请参阅 安全功能分数 文档,详细了解组织如何利用此功能确定基于其环境的修正操作的优先级。

用于执行勒索软件事件调查的 DART 方法

应尽一切努力确定攻击者如何获得对资产的访问权限,以便可以修正漏洞。 否则,很可能将来将再次发生同一类型的攻击。 在某些情况下,威胁参与者采取措施覆盖其轨迹并销毁证据,因此整个事件链可能不明显。

以下是 DART 勒索软件调查中的三个关键步骤:

步骤 目标 初始问题
1. 评估当前情况 了解范围 最初你意识到勒索软件攻击是什么?

你第一次了解事件的时间/日期是什么?

哪些日志可用,是否有任何迹象表明执行组件当前正在访问系统?
2. 确定受影响的业务线 (LOB) 应用 使系统重新联机 应用程序是否需要标识?

应用程序、配置和数据备份是否可用?

是否使用还原练习定期验证备份的内容和完整性?
3. 确定入侵恢复 (CR) 过程 从环境中删除攻击者的控制 不适用

步骤 1。 评估当前情况

对当前情况的评估对于了解事件的范围以及确定协助和规划调查和修正任务的最佳人员至关重要。 提出以下初始问题对于帮助确定情况至关重要。

最初,你意识到勒索软件攻击是什么?

如果 IT 人员识别了初始威胁(例如正在删除的备份、防病毒警报、终结点检测和响应 (EDR) 警报或可疑系统更改),则通常可以通过禁用所有入站和出站 Internet 通信来采取快速果断措施来阻止攻击。 这可能暂时影响业务运营,但这通常比部署勒索软件的对手影响要小得多。

如果威胁是由用户调用 IT 支持人员识别的,则可能有足够的提前警告来采取防御措施,以防止或尽量减少攻击的影响。 如果外部实体 ((如执法或金融机构)) 标识了威胁,则可能已造成损害,并且你会看到环境中存在威胁参与者已获得网络管理控制权的证据。 这可以是勒索软件笔记、锁定的屏幕或赎金要求。

你第一次了解事件的日期/时间是什么?

建立初始活动日期和时间非常重要,因为它有助于缩小初始会审范围,以便攻击者快速获胜。 其他问题可能包括:

  • 该日期缺少哪些更新? 这一点对于了解攻击者可能利用的漏洞非常重要。
  • 该日期使用了哪些帐户?
  • 自该日期以来已创建哪些新帐户?

哪些日志可用,并且是否有任何指示执行组件当前正在访问系统?

日志(如防病毒、EDR 和虚拟专用网络 (VPN) )是可疑泄露的指示器。 后续问题可能包括:

  • 是否在安全信息和事件管理 (SIEM) 解决方案(例如 Microsoft Sentinel、Splunk、ArcSight 等)和当前解决方案中聚合日志? 此数据的保留期是什么?
  • 是否有任何可疑的泄露系统遇到异常活动?
  • 是否有任何可疑的泄露帐户似乎被对手主动使用?
  • 是否有任何证据表明 EDR、防火墙、VPN、Web 代理和其他日志中 (C2) 活动命令和控制?

作为评估当前情况的一部分,可能需要 Active Directory 域服务 (AD DS) 未泄露的域控制器、域控制器的最新备份或最近脱机进行维护或升级的域控制器。 此外,还确定公司中每个人是否需要 多重身份验证 (MFA) ,以及是否使用了 Azure Active Directory (Azure AD)

步骤 2. 确定由于事件而不可用的 LOB 应用

此步骤对于找出获取所需证据时使系统重新联机的最快速方法至关重要。

应用程序是否需要标识?

  • 如何执行身份验证?
  • 如何存储和管理凭据(例如证书或机密)?

测试的应用程序、配置和数据备份是否可用?

  • 使用还原练习定期验证备份的内容和完整性吗? 配置管理更改或版本升级后,这尤其重要。

步骤 3. 确定泄露恢复过程

如果已确定通常为 AD DS 的控制平面已遭到入侵,则可能需要执行此步骤。

调查应始终有一个目标,即提供直接馈送到 CR 过程的输出。 CR 是一个过程,从环境中删除攻击者的控制,并在一定时间内从战术上提高安全态势。 CR 在安全漏洞后发生。 若要了解有关 CR 的详细信息,请阅读 Microsoft Compromise Recovery 安全实践团队的 CRSP:除了客户博客文章外,紧急团队还打击网络攻击

收集上述问题的响应后,可以生成任务列表并分配所有者。 成功的事件响应参与的一个关键因素是,每个工作项的详细文档 ((如所有者、状态、发现、日期和时间) ),使参与结束时的发现编制成为一个简单的过程。

DART 建议和最佳做法

下面是对包含和事件后活动的建议和最佳做法。

Containment

只有在分析确定需要包含的内容后,才会发生包含。 对于勒索软件,攻击者的目标是获取凭据,允许对高度可用的服务器进行管理控制,然后部署勒索软件。 在某些情况下,威胁执行组件标识敏感数据并将其外泄到其控制的位置。

战术恢复对于组织的环境、行业和 IT 专业知识和经验水平而言是独一无二的。 对于组织可以采取的短期和战术遏制步骤,建议执行以下步骤。 若要了解有关长期指导的详细信息,请参阅 保护特权访问。 若要全面了解勒索软件和敲诈勒索以及如何准备和保护组织,请参阅 人工操作的勒索软件

在发现新的威胁向量时,可以同时执行以下遏制步骤。

步骤 1:评估情况的范围

  • 哪些用户帐户遭到入侵?
  • 哪些设备受到影响?
  • 哪些应用程序受到影响?

步骤 2:保留现有系统

  • 禁用除管理员使用的少数帐户之外的所有特权用户帐户,以帮助重置 AD DS 基础结构的完整性。 如果据信用户帐户遭到入侵,请立即将其禁用。
  • 将受损的系统与网络隔离,但不要将其关闭。
  • 在每个域中隔离至少一个已知的良好域控制器, 两个更出色。 要么将其与网络断开连接,要么完全关闭它们。 此处的对象是阻止勒索软件传播到关键系统, 标识是最脆弱的。 如果所有域控制器都是虚拟的,请确保虚拟化平台的系统和数据驱动器已备份到未连接到网络的脱机外部媒体,以防虚拟化平台本身遭到入侵。
  • 隔离关键已知良好的应用程序服务器,例如 SAP、配置管理数据库 (CMDB) 、计费和会计系统。

这两个步骤可以同时完成,因为发现新的威胁向量。 禁用这些威胁向量,然后尝试找到一个已知良好的系统来隔离网络。

其他战术遏制操作可能包括:

  • 连续两次重置 krbtgt 密码。 请考虑使用 脚本化、可重复的过程。 此脚本使你能够重置 krbtgt 帐户密码和相关密钥,同时最大程度地减少操作导致 Kerberos 身份验证问题的可能性。 为了尽量减少潜在问题,可以在第一次密码重置之前减少一次或多次 krbtgt 生存期,以便快速完成两次重置。 请注意,你计划保留在环境中的所有域控制器必须处于联机状态。

  • 将组策略部署到整个域 () ,以防止特权登录 (域管理员) 域控制器和仅特权管理工作站 ((如果有任何) )。

  • 安装操作系统和应用程序的所有缺失安全更新。 每个缺失的更新都是攻击者可以快速识别和利用的潜在威胁途径。 Microsoft Defender for Endpoint 的威胁和漏洞管理 提供了一种简单的方式来准确查看缺少的内容,以及缺失更新的潜在影响。

  • 检查每个面向外部的应用程序(包括 VPN 访问)是否受多重身份验证的保护,最好使用在安全设备上运行的身份验证应用程序。

  • 对于未使用 Defender for Endpoint 作为主要防病毒软件的设备,请在将 Microsoft 安全扫描程序 重新连接到网络之前,在隔离的已知良好系统上运行完全扫描。

  • 对于任何旧操作系统,请升级到受支持的 OS 或停用这些设备。 如果这些选项不可用,请采取一切可能的措施来隔离这些设备,包括网络/VLAN 隔离、Internet 协议安全 (IPsec) 规则和登录限制,以便用户/设备只能访问应用程序以提供业务连续性。

最危险的配置包括像 Windows NT 4.0 和应用程序一样在旧版操作系统上运行任务关键型系统,所有这些系统都位于旧硬件上。 这些操作系统和应用程序不仅不安全且易受攻击,如果该硬件发生故障,备份通常无法在新式硬件上还原。 除非更换旧版硬件可用,否则这些应用程序将无法正常运行。 强烈建议将这些应用程序转换为在当前操作系统和硬件上运行。

事件后活动

DART 建议在每个事件后实施以下安全建议和最佳做法。

  • 确保为 电子邮件和协作解决方案 提供了最佳做法,以便攻击者更难滥用它们,同时允许内部用户轻松安全地访问外部内容。

  • 遵循对内部组织资源的远程访问解决方案的 零信任 安全最佳做法。

  • 从关键影响管理员开始,请遵循帐户安全性的最佳做法,包括使用 无密码身份验证 或 MFA。

  • 实施全面的策略,以减少特权访问泄露的风险。

  • 实现数据保护以阻止勒索软件技术,并确认从攻击中快速可靠的恢复。

  • 查看关键系统。 检查是否针对故意擦除或加密的攻击者检查保护和备份。 请务必定期测试和验证这些备份。

  • 确保快速检测和修正终结点、电子邮件和标识上的常见攻击。

  • 积极发现并持续改善环境的安全状况。

  • 更新组织流程以管理重大勒索软件事件并简化外包以避免摩擦。

PAM

使用 PAM (以前称为分层管理模型) 增强了 Azure AD 的安全状况。 这涉及:

  • 在“计划”环境中中断管理帐户- 每个级别的一个帐户,通常为四个:

  • 控制平面 (前第 0 层) :域控制器和其他关键标识服务的管理,例如 Active Directory 联合身份验证服务 (ADFS) 或 Azure AD Connect。 这还包括需要 AD DS 管理权限的服务器应用程序,例如 Exchange Server。

  • 接下来的两架飞机是前第 1 层:

    • 管理平面:资产管理、监视和安全性。

    • 数据/工作负荷平面:应用程序和应用程序服务器。

  • 接下来的两架飞机是前第 2 层:

    • 用户访问: ((例如帐户) )的访问权限。

    • 应用访问:应用程序的访问权限。

  • 其中每个平面都有一 个单独的管理工作站,每个平面 都只能访问该平面中的系统。 其他平面中的其他帐户将通过用户权限分配设置为这些计算机,拒绝访问其他平面中的工作站和服务器。

PAM 的净结果是:

  • 泄露的用户帐户只能访问其所属的平面。

  • 更敏感的用户帐户不会登录到具有较低平面安全级别的工作站和服务器,从而减少横向移动。

默认情况下,Microsoft Windows 和 AD DS 在工作站和成员服务器上没有对本地管理帐户进行集中管理。 这通常会导致为所有这些本地帐户或至少在计算机组中提供的公共密码。 这样,攻击者就可以入侵一个本地管理员帐户,然后使用该帐户访问组织中的其他工作站或服务器。

Microsoft 的 LAPS 通过使用组策略客户端扩展来缓解此问题,该扩展会根据策略集定期更改工作站和服务器上的本地管理密码。 其中每个密码都是不同的,并作为属性存储在 AD DS 计算机对象中。 可以从简单的客户端应用程序检索此属性,具体取决于分配给该属性的权限。

LAPS 要求扩展 AD DS 架构,以允许附加属性、要安装的 LAPS 组策略模板,以及每个工作站和成员服务器上要安装的小型客户端扩展,以提供客户端功能。

可以从 Microsoft 下载中心获取 LAPS。

事件响应 playbook

请检查用于识别和调查这些攻击类型的指南:

事件响应资源

其他勒索软件资源

Microsoft 提供的重要信息:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Microsoft 安全团队博客文章: