الاستجابة لهجمات برامج الفدية الضارة
ملاحظة
هل تريد تجربة Microsoft Defender XDR؟ تعرّف على المزيد حول كيفية تقييم Microsoft Defender XDR واختبارها.
عندما تشك في أنك كنت أو تتعرض حاليا لهجوم برامج الفدية الضارة، قم بإنشاء اتصالات آمنة مع فريق الاستجابة للحوادث على الفور. يمكنهم تنفيذ مراحل الاستجابة التالية لتعطيل الهجوم وتخفيف الضرر:
- التحقيق والاحتواء
- الاستئصال والاسترداد
توفر هذه المقالة دليل مبادئ معمم للاستجابة لهجمات برامج الفدية الضارة. ضع في اعتبارك تكييف الخطوات والمهام الموضحة في هذه المقالة مع دليل مبادئ عمليات الأمان الخاص بك. ملاحظة: للحصول على معلومات حول منع هجمات برامج الفدية الضارة، راجع نشر منع برامج الفدية الضارة بسرعة.
الاحتواء
وينبغي أن يحدث الاحتواء والتحقيق في الوقت نفسه قدر الإمكان؛ ومع ذلك، يجب أن تركز على تحقيق الاحتواء بسرعة، لذلك لديك المزيد من الوقت للتحقيق. تساعدك هذه الخطوات في تحديد نطاق الهجوم وعزله إلى الكيانات المتأثرة فقط، مثل حسابات المستخدمين والأجهزة.
الخطوة 1: تقييم نطاق الحادث
قم بتشغيل قائمة الأسئلة والمهام هذه لاكتشاف مدى الهجوم. يمكن أن توفر Microsoft Defender XDR عرضا موحدا لجميع الأصول المتأثرة أو المعرضة للخطر للمساعدة في تقييم الاستجابة للحوادث. راجع الاستجابة للحوادث باستخدام Microsoft Defender XDR. يمكنك استخدام التنبيهات وقائمة الأدلة في الحادث لتحديد:
- ما هي حسابات المستخدمين التي قد يتم اختراقها؟
- ما هي الحسابات التي تم استخدامها لتسليم الحمولة؟
- ما هي الأجهزةالمكتشفة والملحقة المتأثرة وكيف؟
- الأجهزة الأصلية
- الأجهزة المتأثرة
- الأجهزة المشبوهة
- حدد أي اتصال شبكة مقترن بالحادث.
- ما هي التطبيقات المتأثرة؟
- ما هي الحمولات التي تم توزيعها؟
- كيف يتواصل المهاجم مع الأجهزة المخترقة؟ (يجب تمكين حماية الشبكة):
- انتقل إلى صفحة المؤشرات لإضافة كتلة ل IP وعنوان URL (إذا كانت لديك تلك المعلومات).
- ما هي وسيلة تسليم الحمولة؟
الخطوة 2: الحفاظ على الأنظمة الموجودة
قم بتشغيل قائمة المهام والأسئلة هذه لحماية الأنظمة الموجودة من الهجوم:
- إذا كانت لديك نسخ احتياطية عبر الإنترنت، ففكر في فصل نظام النسخ الاحتياطي عن الشبكة حتى تكون واثقا من احتواء الهجوم، راجع خطة النسخ الاحتياطي والاستعادة للحماية من برامج الفدية الضارة | Microsoft Docs.
- إذا كنت تواجه أو تتوقع توزيعا وشيكا ونشطا لبرامج الفدية الضارة:
- تعليق الحسابات المميزة والمحلية التي تشك في أنها جزء من الهجوم. يمكنك القيام بذلك من علامة التبويب Users في خصائص الحدث في مدخل Microsoft Defender.
- أوقف جميع جلسات تسجيل الدخول عن بعد.
- أعد تعيين كلمات مرور حساب المستخدم المخترقة واطلب من مستخدمي حسابات المستخدمين المخترقين تسجيل الدخول مرة أخرى.
- قم بنفس الشيء لحسابات المستخدمين التي قد يتم اختراقها.
- إذا تم اختراق الحسابات المحلية المشتركة، فاساعدك مسؤول تكنولوجيا المعلومات على فرض تغيير كلمة المرور عبر جميع الأجهزة المكشوفة. مثال على استعلام Kusto:
DeviceLogonEvents | where DeviceName contains (AccountDomain) | take 10
- بالنسبة للأجهزة التي لم يتم عزلها بعد ولا تشكل جزءا من البنية الأساسية الهامة:
- عزل الأجهزة المخترقة عن الشبكة ولكن لا تقم بإيقاف تشغيلها.
- إذا قمت بتحديد الأجهزة الأصلية أو أجهزة الانتشار، فاعزلها أولا.
- الحفاظ على الأنظمة المخترقة للتحليل.
الخطوة 3: منع الانتشار
استخدم هذه القائمة لمنع الهجوم من الانتشار إلى كيانات إضافية.
- إذا تم استخدام الحسابات المحلية المشتركة في الهجوم، ففكر في حظر الاستخدام عن بعد للحسابات المحلية.
- استعلام Kusto لجميع عمليات تسجيل الدخول إلى الشبكة المسؤولين المحليين:
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
- استعلام Kusto لتسجيلات الدخول غير RDP (أكثر واقعية لمعظم الشبكات):
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
- عزل وإضافة مؤشرات للملفات المصابة.
- تأكد من أن حل مكافحة الفيروسات الخاص بك قابل للتكوين في حالة الحماية المثلى الخاصة به. بالنسبة إلى برنامج الحماية من الفيروسات Microsoft Defender، يتضمن ذلك:
- يتم تمكين الحماية في الوقت الحقيقي.
- تم تمكين الحماية من العبث. في مدخل Microsoft Defender، حدد Settings > Endpoints > Advanced features > Protection.
- يتم تمكين قواعد تقليل الأجزاء المعرضة للهجوم.
- تم تمكين الحماية السحابية.
- تعطيل Exchange ActiveSync المزامنة من OneDrive.
- لتعطيل Exchange ActiveSync لعلمة بريد، راجع كيفية تعطيل Exchange ActiveSync للمستخدمين في Exchange Online.
- لتعطيل أنواع أخرى من الوصول إلى علبة بريد، راجع:
- يساعد إيقاف المزامنة من OneDrive مؤقتا على حماية بيانات السحابة من التحديث بواسطة الأجهزة التي يحتمل أن تكون مصابة. لمزيد من المعلومات، راجع كيفية إيقاف المزامنة مؤقتا واستئنافها في OneDrive.
- تطبيق التصحيحات ذات الصلة وتغييرات التكوين على الأنظمة المتأثرة.
- حظر اتصالات برامج الفدية الضارة باستخدام عناصر التحكم الداخلية والخارجية.
- إزالة المحتوى المخزن مؤقتا
التحقيق
استخدم هذا القسم للتحقيق في الهجوم والتخطيط لاستجابتك.
تقييم وضعك الحالي
- ما الذي جعلك في البداية على علم بهجوم برامج الفدية الضارة؟
- إذا حدد موظفو تكنولوجيا المعلومات التهديد الأولي - مثل ملاحظة النسخ الاحتياطية التي يتم حذفها أو تنبيهات مكافحة الفيروسات أو تنبيهات الكشف عن نقطة النهاية والاستجابة لها (EDR) أو تغييرات النظام المشبوهة - فمن الممكن في كثير من الأحيان اتخاذ تدابير حاسمة سريعة لإحباط الهجوم، عادة من خلال إجراءات الاحتواء الموضحة في هذه المقالة.
- ما هو التاريخ والوقت الذي علمت فيه بالحادث لأول مرة؟
- ما هي تحديثات النظام والأمان التي لم يتم تثبيتها على الأجهزة في ذلك التاريخ؟ من المهم فهم الثغرات الأمنية التي ربما تم الاستفادة منها حتى يمكن معالجتها على أجهزة أخرى.
- ما هي حسابات المستخدمين التي تم استخدامها في ذلك التاريخ؟
- ما هي حسابات المستخدمين الجديدة التي تم إنشاؤها منذ ذلك التاريخ؟
- ما هي البرامج التي تمت إضافتها للبدء تلقائيا في وقت وقوع الحادث؟
- هل هناك أي إشارة إلى أن المهاجم يصل حاليا إلى الأنظمة؟
- هل هناك أي أنظمة مشبوهة مخترقة تواجه نشاطا غير عادي؟
- هل هناك أي حسابات مشبوهة مخترقة يبدو أنها مستخدمة بنشاط من قبل الخصم؟
- هل هناك أي دليل على خوادم الأوامر والتحكم النشطة (C2) في EDR وجدار الحماية وVPN ووكيل الويب والسجلات الأخرى؟
تحديد عملية برامج الفدية الضارة
- باستخدام التتبع المتقدم، ابحث عن العملية المحددة في أحداث إنشاء العملية على أجهزة أخرى.
ابحث عن بيانات الاعتماد المكشوفة في الأجهزة المصابة
- بالنسبة لحسابات المستخدمين التي يحتمل أن يتم اختراق بيانات اعتمادها، أعد تعيين كلمات مرور الحساب، واطلب من المستخدمين تسجيل الدخول مرة أخرى.
- قد تشير IOAs التالية إلى الحركة الجانبية:
انقر للتوسيع
- أوامر توضيحية مريبة
- MLFileBasedAlert
- IfeoDebuggerPersistence
- SuspiciousRemoteFileDropAndExecution
- أوامر Windows الاستكشافية
- IoaStickyKeys
- مكبر Mimikatz Defender
- أداة فحص الشبكة المستخدمة من قبل PARINACOTA
- DefenderServerAlertMSSQLServer
- SuspiciousLowReputationFileDrop
- SuspiciousServiceExecution
- AdminUserAddition
- MimikatzArtifactsDetector
- Scuba-WdigestEnabledToAccessCredentials
- DefenderMalware
- MLSuspCmdBehavior
- استدعاء MLSuspiciousRemoteInvocation
- استدعاءRemoteComponentInvocation
- إنشاء معالجة مريبة
- MLCmdBasedWithRemoting
- عمليات الوصول إلى Lsass
- تنفيذ عملية Rundll32 المشبوهة
- BitsAdmin
- DefenderCobaltStrikeDetection
- DefenderHacktool
- IoaSuspPSCommandline
- Metasploit
- MLSuspToolBehavior
- RegistryQueryForPasswords
- التزحزح المشبوه
- ASEPRegKey
- CobaltStrikeExecutionDetection
- DefenderBackdoor
- DefenderBehaviorSuspiciousActivity
- DefenderMalwareExecuted
- DefenderServerAlertDomainController
- DupTokenPrivilegeEscalationDetector
- FakeWindowsBinary
- IoaMaliciousCmdlets
- LivingOffTheLandBinary
- MicrosoftSignedBinaryAbuse
- MicrosoftSignedBinaryScriptletAbuse
- MLFileBasedWithRemoting
- MLSuspSvchostBehavior
- ReadSensitiveMemory
- RemoteCodeInjection-IREnabled
- Scuba-EchoSeenOverPipeOnLocalhost
- Scuba-SuspiciousWebScriptFileDrop
- تسجيل DLL المشبوه بواسطة odbcconf
- نشاط DPAPI المشبوه
- تنفيذ عملية Exchange المشبوهة
- تشغيل مهمة مجدولة مريبة
- مريبLdapQueryDetector
- تسجيل المهام المشبوهة
- يفتح التطبيق غير الموثوق به اتصال RDP
تحديد تطبيقات خط العمل (LOB) غير المتوفرة بسبب الحادث
- هل يتطلب التطبيق هوية؟
- كيف يتم تنفيذ المصادقة؟
- كيف يتم تخزين بيانات الاعتماد مثل الشهادات أو الأسرار وإدارتها؟
- هل يتم تقييم النسخ الاحتياطية للتطبيق وتكوينه وبياناته المتاحة؟
- حدد عملية استرداد التسوية الخاصة بك.
الاستئصال والاسترداد
استخدم هذه الخطوات للقضاء على التهديد واسترداد الموارد التالفة.
الخطوة 1: التحقق من النسخ الاحتياطية
إذا كان لديك نسخ احتياطية دون اتصال، فمن المحتمل أن تتمكن من استعادة البيانات التي تم تشفيرها بعد إزالة حمولة برامج الفدية الضارة (البرامج الضارة) من بيئتك وبعد التحقق من عدم وجود وصول غير مصرح به في مستأجر Microsoft 365.
الخطوة 2: إضافة مؤشرات
أضف أي قنوات اتصال مهاجم معروفة كمؤشرات، محظورة في جدران الحماية، وفي خوادم الوكيل، وعلى نقاط النهاية.
الخطوة 3: إعادة تعيين المستخدمين المخترقين
إعادة تعيين كلمات المرور لأي حسابات مستخدمين معروفة تم اختراقها وتتطلب تسجيل دخول جديد.
- ضع في اعتبارك إعادة تعيين كلمات المرور لأي حساب متميز مع سلطة إدارية واسعة، مثل أعضاء مجموعة مسؤولي المجال.
- إذا كان حساب مستخدم قد تم إنشاؤه بواسطة مهاجم، ف قم بتعطيل الحساب. لا تحذف الحساب ما لم تكن هناك خطط لإجراء الطب الشرعي الأمني للحادث.
الخطوة 4: عزل نقاط تحكم المهاجم
اعزل أي نقاط تحكم مهاجم معروفة داخل المؤسسة عن الإنترنت.
الخطوة 5: إزالة البرامج الضارة
إزالة البرامج الضارة من الأجهزة المتأثرة.
- قم بتشغيل فحص كامل وحديث للحماية من الفيروسات على جميع أجهزة الكمبيوتر والأجهزة المشتبه بها للكشف عن الحمولة المقترنة ببرامج الفدية الضارة وإزالتها.
- لا تنس فحص الأجهزة التي تقوم بمزامنة البيانات أو أهداف محركات أقراص الشبكة المعينة.
الخطوة 6: استرداد الملفات على جهاز تم تنظيفه
استرداد الملفات على جهاز تم تنظيفه.
- يمكنك استخدام محفوظات الملفات في Windows 11 Windows 10 Windows 8.1 وحماية النظام في Windows 7 لمحاولة استرداد الملفات والمجلدات المحلية.
الخطوة 7: استرداد الملفات في OneDrive for Business
استرداد الملفات في OneDrive for Business.
- تسمح لك استعادة الملفات في OneDrive for Business باستعادة OneDrive بأكمله إلى نقطة زمنية سابقة خلال آخر 30 يوما. لمزيد من المعلومات، راجع استعادة OneDrive.
الخطوة 8: استرداد البريد الإلكتروني المحذوف
استرداد البريد الإلكتروني المحذوف.
- في حالة نادرة أن برامج الفدية الضارة حذفت كل البريد الإلكتروني في علبة بريد، يمكنك استرداد العناصر المحذوفة. راجع استرداد الرسائل المحذوفة في علبة بريد المستخدم في Exchange Online.
الخطوة 9: إعادة تمكين Exchange ActiveSync المزامنة من OneDrive
- بعد تنظيف أجهزة الكمبيوتر والأجهزة واسترداد البيانات، يمكنك إعادة تمكين Exchange ActiveSync المزامنة من OneDrive التي قمت بتعطيلها مسبقا في الخطوة 3 من الاحتواء.
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.