Microsoft 事件回應勒索軟體案例研究

人為操作的勒索軟體繼續保持其作為全球最具影響力網路攻擊趨勢之一的地位，而且是許多組織近年來面臨的重大威脅。 這些攻擊會利用網路錯誤設定，並在組織的弱式內部安全性上茁壯成長。 雖然這些攻擊對組織及其IT基礎結構和數據構成明顯且目前的危險，但它們是 可預防的災害。

Microsoft 事件回應小組（先前稱為 DART/CRSP）會回應安全性危害，以協助客戶變得具有網路彈性。 Microsoft 事件回應提供現場反應式事件回應和遠端主動式調查。 Microsoft 事件回應利用 Microsoft 與世界各地的安全性組織與內部 Microsoft 產品群組的戰略合作關係，盡可能提供最完整且徹底的調查。

本文說明 Microsoft 事件回應如何調查最近的勒索軟體事件，以及攻擊策略和偵測機制的詳細數據。

如需詳細資訊，請參閱 Microsoft 事件回應指南的第 1 部分和第 2 部分，以對抗人為操作的勒索軟體。

攻擊

Microsoft 事件回應會利用事件回應工具和策略來識別人類操作勒索軟體的威脅動作項目行為。 有關勒索軟體事件的公開資訊著重於最終影響，但很少強調作業的詳細數據，以及威脅執行者如何提升其無法偵測到的存取，以探索、獲利和敲詐勒索。

以下是攻擊者根據 MITRE ATT&CK 策略用於勒索軟體攻擊的一些常見技術。

Microsoft 事件回應使用 適用於端點的 Microsoft Defender 追蹤攻擊者通過環境、建立描述事件的故事，然後消除威脅並補救。 部署之後，適用於端點的 Defender 開始偵測從暴力密碼破解攻擊成功登入。 探索到此狀況后，Microsoft 事件回應會檢閱安全性數據，並使用遠端桌面通訊協定 （RDP） 找到數個易受攻擊的因特網對應裝置。

取得初始存取權之後，威脅執行者會使用Mimikatz認證收集工具來傾印密碼哈希、掃描以純文本儲存的認證、使用黏性密鑰操作建立後門程式，並使用遠端桌面會話橫向移動整個網路。

在此案例研究中，以下是攻擊者所採取之醒目提示的路徑。

下列各節說明以 MITRE ATT&CK 策略為基礎的其他詳細數據，並包含如何使用 Microsoft Defender 入口網站偵測到威脅動作專案活動的範例。

初始存取

勒索軟體活動會針對其初始專案使用已知的弱點，通常是在周邊防禦中使用網路釣魚電子郵件或弱點，例如在因特網上公開已啟用遠端桌面服務的裝置。

針對此事件，Microsoft 事件響應設法找出已向因特網公開 RDP 的 TCP 連接埠 3389 的裝置。 這可讓威脅執行者執行暴力密碼破解驗證攻擊，並取得初始立足點。

適用於端點的 Defender 使用威脅情報來判斷已知暴力密碼破解來源有許多登入，並在 Microsoft Defender 入口網站中顯示這些登入。 以下是範例。

探查

一旦初始存取成功，環境列舉和裝置探索就會開始。 這些活動可讓威脅執行者識別組織內部網路和目標重要系統的相關信息，例如域控制器、備份伺服器、資料庫和雲端資源。 列舉和裝置探索之後，威脅執行者會執行類似的活動，以識別易受攻擊的用戶帳戶、群組、許可權和軟體。

威脅執行者利用進階IP掃描器，IP 位址掃描工具，列舉環境中所使用的IP位址，並執行後續的埠掃描。 藉由掃描開啟的埠，威脅執行者探索到從最初遭入侵裝置存取的裝置。

在適用於端點的 Defender 中偵測到此活動，並作為入侵指標（IoC）進行進一步調查。 以下是範例。

認證竊取

取得初始存取權之後，威脅執行者會使用Mimikatz密碼擷取工具執行認證收集，並在最初遭入侵的系統上搜尋包含「密碼」的檔案。 這些動作可讓威脅執行者存取具有合法認證的其他系統。 在許多情況下，威脅執行者會使用這些帳戶來建立額外的帳戶，以在識別並補救初始遭入侵的帳戶之後維持持續性。

以下是在 Microsoft Defender 入口網站中偵測到使用 Mimikatz 的範例。

橫向移動

在不同組織之間移動可能會有所不同，但威脅執行者通常會使用裝置上已經存在的不同遠端管理軟體品種。 藉由利用 IT 部門在日常活動中常用的遠端存取方法，威脅執行者可以長時間地在雷達下飛行。

使用 適用於身分識別的 Microsoft Defender，Microsoft 事件回應能夠對應威脅執行者在裝置之間採取的路徑，並顯示已使用和存取的帳戶。 以下是範例。

防禦規避

為了避免偵測，威脅執行者會使用防禦逃避技術，以避免在攻擊週期中識別並達成其目標。 這些技術包括停用或竄改防毒產品、卸載或停用安全性產品或功能、修改防火牆規則，以及使用模糊技術來隱藏安全性產品和服務入侵的成品。

此事件的威脅執行者使用PowerShell停用 Windows 11 和 Windows 10 裝置和區域網路工具上的 Microsoft Defender 實時保護，以開啟 TCP 連接埠 3389 並允許 RDP 連線。 這些變更減少了環境中偵測的機會，因為它們修改了偵測和警示惡意活動的系統服務。

不過，適用於端點的 Defender 無法從本機裝置停用，而且能夠偵測到此活動。 以下是範例。

持續性

持續性技術包括威脅執行者在安全性人員努力重新控制遭入侵系統後維持系統一致存取的動作。

此事件的威脅執行者使用黏性密鑰駭客，因為它允許在 Windows 作業系統內遠端執行二進位檔，而不需要驗證。 然後，他們會使用這項功能來啟動命令提示字元並執行進一步的攻擊。

以下是在 Microsoft Defender 入口網站中偵測黏性密鑰駭客的範例。

影響

威脅執行者通常會使用環境中已經存在的應用程式或功能來加密檔案。 使用 PsExec、組策略和 Microsoft 端點組態管理是部署方法，可讓動作專案快速觸達端點和系統，而不會中斷一般作業。

此事件的威脅執行者利用 PsExec 從各種遠端共享遠端啟動互動式 PowerShell 腳本。 此攻擊方法會隨機化發佈點，並讓補救在勒索軟體攻擊的最後階段更加困難。

勒索軟體執行

勒索軟體執行是威脅執行者用來獲利攻擊的主要方法之一。 不論執行方法為何，部署后，不同的勒索軟體架構通常會有常見的行為模式：

• 模糊化威脅動作項目動作
• 建立持續性
• 停用 Windows 錯誤復原和自動修復
• 停止服務清單
• 終止進程清單
• 刪除陰影複製和備份
• 加密檔案，可能指定自定義排除專案
• 建立勒索軟體附注

以下是勒索軟體注意事項的範例。

其他勒索軟體資源

來自 Microsoft 的重要資訊：

• Microsoft On the Issues 部落格文章 2021 年 7 月 20 日勒索軟體的威脅越來越大
• 人為操作的勒索軟體
• 快速防範勒索軟體和敲詐勒索
• 2021 年 Microsoft 數位防禦報告 (請參閱第 10 至 19 頁)
• 勒索軟體：Microsoft Defender 入口網站中普遍且持續的威脅 威脅分析報告
• Microsoft 事件回應勒索軟體方法和最佳做法

Microsoft 365：

• 為您的 Microsoft 365 租使用者部署勒索軟體防護
• 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
• 從勒索軟體攻擊中復原
• 惡意程式碼和勒索軟體防護
• 保護您的 Windows 10 電腦免受勒索軟體攻擊
• 在 SharePoint Online 中處理勒索軟體
• Microsoft Defender 入口網站中勒索軟體 的威脅分析報告

Microsoft Defender 全面偵測回應：

• 利用進階搜捕尋找勒索軟體

適用於雲端的 Microsoft Defender 應用程式：

• 在 適用於雲端的 Defender Apps 中建立異常偵測原則

Microsoft Azure:

• 適用於勒索軟體攻擊的 Azure 防禦
• 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
• 備份和還原計劃以防範勒索軟體
• 利用 Microsoft Azure 備份來防止勒索軟體 (26 分鐘的影片)
• 從系統性身分識別入侵中復原
• Microsoft Sentinel 中的進階多階段攻擊偵測
• Microsoft Sentinel 中勒索軟體的融合偵測

Microsoft 安全性小組部落格文章：

• 防止和復原勒索軟體的 3 個步驟 （2021 年 9 月）

• 對抗人類操作勒索軟體的指南：第1部分 （2021年9月）

  Microsoft 事件回應如何進行勒索軟體事件調查的重要步驟。

• 對抗人類操作勒索軟體的指南：第 2 部分 （2021 年 9 月）

  建議和最佳做法。

• 了解網路安全風險來變得具有彈性：第 4 部分— 流覽目前的威脅 （2021 年 5 月）

  請參閱勒索軟體一節。

• 人為操作的勒索軟體攻擊：可預防的災難（2020 年 3 月）

  包含實際攻擊的攻擊鏈結分析。

• 勒索軟體回應 — 要支付或不付款？ (2019 年 12 月)

• Norsk Hydro 以透明的方式回應勒索軟體攻擊 (2019 年 12 月)