Del via


Registrering af menneskestyrede ransomware-angreb med Microsoft Defender XDR

Bemærk!

Vil du opleve Microsoft Defender XDR? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft Defender XDR.

Ransomware er en type extortion-angreb, der ødelægger eller krypterer filer og mapper, hvilket forhindrer adgang til kritiske data eller forstyrrer kritiske forretningssystemer. Der er to typer ransomware:

  • Vare ransomware er malware, der spredes med phishing eller mellem enheder og krypterer filer, før de kræver en løsesum.
  • Menneskedrevet ransomware er et planlagt og koordineret angreb fra aktive cyberkriminelle, der anvender flere angrebsmetoder. I mange tilfælde bruges kendte teknikker og værktøjer til at infiltrere din organisation, finde de aktiver eller systemer, der er værd at afpresse, og derefter kræve en løsesum. Ved at kompromittere et netværk udfører angriberen rekognoscering af aktiver og systemer, som kan krypteres eller afpresses. Angriberne krypterer eller exfiltrerer derefter data, før de kræver en løsesum.

I denne artikel beskrives proaktiv opdagelse af nye eller igangværende menneskedrevne ransomware-angreb med Microsoft Defender-portalen, en XDR-løsning (extended detection and response) til følgende sikkerhedstjenester:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps (herunder tilføjelsesprogrammet til appstyring)
  • Microsoft Entra ID-beskyttelse
  • Microsoft Defender til IoT
  • Microsoft 365 Business Premium
  • Microsoft Defender for Business

Du kan finde oplysninger om forebyggelse af ransomware-angreb under Udrul hurtigt ransomware-forebyggelser - fase 3: Gør det svært at komme ind.

Vigtigheden af proaktiv registrering

Fordi menneskelig drevet ransomware typisk udføres af aktive hackere, der muligvis udfører trinnene for at infiltrere og opdage dine mest værdifulde data og systemer i realtid, er den tid, det tager at opdage ransomware-angreb, afgørende.

Hvis aktiviteter før løsepenge opdages hurtigt, falder sandsynligheden for et alvorligt angreb. Fasen før løsesum indeholder typisk følgende teknikker: indledende adgang, rekognoscering, identitetstyveri, tværgående bevægelse og vedholdenhed. Disse teknikker kan i første omgang synes ikke-relaterede og ofte flyve under radaren. Hvis disse teknikker fører til løsepenge fase, er det ofte for sent. Microsoft Defender XDR kan hjælpe med at identificere disse små og tilsyneladende ikke-relaterede hændelser som muligvis en del af en større ransomware-kampagne.

  • Når det registreres i fasen før løsepenge, kan mindre afhjælpninger, f.eks. isolering af inficerede enheder eller brugerkonti, bruges til at afbryde og afhjælpe angrebet.
  • Hvis registrering kommer på et senere tidspunkt, f.eks. når den malware, der bruges til at kryptere filer, udrulles, skal der muligvis bruges mere aggressive afhjælpningstrin, der kan forårsage nedetid, til at afbryde og afhjælpe angrebet.

Driftsforstyrrelser er sandsynligvis, når de reagerer på et ransomware-angreb. Slutfasen af et ransomware-angreb er ofte et valg mellem nedetid forårsaget af hackere med store risici eller en kontrolleret nedetid for at sikre netværkssikkerhed og give dig tid til fuldt ud at undersøge. Vi anbefaler aldrig at betale en løsesum. Betalende cyberkriminelle for at få en ransomware-dekrypteringsnøgle giver ingen garanti for, at dine krypterede data gendannes. Se, Ransomware-svar – Microsoft Security Blog.

Her er den kvalitative relation af virkningen af en ransomware angreb og din tid til at reagere på ingen opdagelse vs proaktiv opdagelse og svar.

Den kvalitative relation af virkningen af et ransomware-angreb og din tid til at reagere på ingen registrering vs. proaktiv opdagelse og reaktion, der viser effekten på din virksomhed reducerer, jo hurtigere du reagerer.

Proaktiv registrering via almindelige malwareværktøjer og -teknikker

I mange tilfælde bruger menneskedrevne ransomware-angribere velkendte og felttestede malwaretaktik, teknikker, værktøjer og procedurer, herunder phishing, BEC (business email compromise) og identitetstyveri af legitimationsoplysninger. Dine sikkerhedsanalytikere skal være opmærksomme på og have kendskab til, hvordan hackere bruger almindelige malware- og cyberangrebsmetoder til at få fodfæste i din organisation.

Hvis du vil se eksempler på, hvordan ransomware-angreb kommer i gang med almindelig malware, skal du se disse ressourcer:

At være fortrolig med malware, nyttedata og aktiviteter før løsepenge hjælper dine analytikere med at vide, hvad de skal kigge efter for at forhindre de senere faser af et angreb.

Menneskeligt opereret ransomware angreb taktik

Fordi menneskeligt drevet ransomware kan bruge kendte angrebsteknikker og -værktøjer, vil dine analytikeres forståelse og erfaring med eksisterende angrebsteknikker og -værktøjer være et værdifuldt aktiv, når du forbereder dit SecOps-team til fokuserede praksisser for ransomware-opdagelse.

Angreb taktik og metoder

Her er nogle typiske teknikker og værktøjer, der bruges af ransomware hackere til følgende MITRE ATT&CK taktik:

Indledende adgang:

  • RDP brute force
  • Sårbart internetbaseret system
  • Svage programindstillinger
  • Phishing-mail

Tyveri af legitimationsoplysninger:

  • Mimikatz
  • LSA-hemmeligheder
  • Samling af legitimationsoplysninger
  • Legitimationsoplysninger i almindelig tekst
  • Misbrug af tjenestekonti

Tværgående bevægelse:

  • Coboltstreg
  • WMI
  • Misbrug af ledelsesværktøjer
  • PsExec

Persistens:

  • Nye konti
  • Ændringer i gruppepolitikobjekt
  • Skygge-it-værktøjer
  • Planlæg opgaver
  • Tjenesteregistrering

Forsvarsunddragelse:

  • Deaktivering af sikkerhedsfunktioner
  • Rydder logfiler
  • Sletning af angrebsartefaktfiler
  • Nulstilling af tidsstempler på ændrede filer

Eksfiltration:

  • Eksfiltration af følsomme data Impact (økonomisk udnyttelse):
  • Kryptering af data på plads og i sikkerhedskopier
  • Sletning af data på plads og sikkerhedskopier, som kan kombineres med en tidligere eksfiltration
  • Trussel om offentlig lækage af exfiltrerede, følsomme data

Hvad skal du søge efter?

Udfordringen for sikkerhedsanalytikere er at genkende, når en besked er en del af en større angrebskæde med det formål at afpresse dine følsomme data eller vigtige systemer. Et registreret phishingangreb kan f.eks. være:

  • Et engangsangreb for at overvåge mails fra en person i økonomiafdelingen i en organisation.
  • Pre-ransom del af et angreb kæde til at bruge kompromitteret brugerkonto legitimationsoplysninger til at finde de ressourcer, der er tilgængelige for brugerkontoen og til at kompromittere andre brugerkonti med højere niveauer af rettigheder og adgang.

Dette afsnit indeholder almindelige angrebsfaser og -metoder og de signalkilder, der overføres til den centrale Microsoft Defender portal, som opretter beskeder og hændelser, der består af flere relaterede beskeder til sikkerhedsanalyse. I nogle tilfælde er der alternative sikkerhedsportaler til at få vist angrebsdataene.

Indledende angreb for at få adgang

Hackeren forsøger at kompromittere en brugerkonto, enhed eller app.

Angrebsmetode Signalkilde Alternative sikkerhedsportaler
RDP brute force Defender for Endpoint Defender for Cloud Apps
Sårbart internetbaseret system Windows-sikkerhedsfunktioner, Microsoft Defender til servere
Svage programindstillinger Defender for Cloud Apps, Defender for Cloud Apps med tilføjelsesprogrammet appstyring Defender for Cloud Apps
Aktivitet i skadelig app Defender for Cloud Apps, Defender for Cloud Apps med tilføjelsesprogrammet appstyring Defender for Cloud Apps
Phishing-mail Defender for Office 365
Adgangskodespray mod Microsoft Entra konti Microsoft Entra ID-beskyttelse via Defender for Cloud Apps Defender for Cloud Apps
Adgangskodespray mod konti i det lokale miljø Microsoft Defender for Identity
Kompromitteret enhed Defender for Endpoint
Tyveri af legitimationsoplysninger Microsoft Defender for Identity
Eskalering af rettigheder Microsoft Defender for Identity

Nylig stigning i ellers typisk adfærd

Hackeren forsøger at undersøge, om yderligere enheder kan kompromitteres.

Kategorien Spidsbelastning Signalkilde Alternative sikkerhedsportaler
Logon: Flere mislykkede forsøg, forsøg på at logge på flere enheder på kort tid, flere logon første gang osv. Microsoft Entra ID-beskyttelse via Defender for Cloud Apps Microsoft Defender for Identity Defender for Cloud Apps
Seneste aktive brugerkonto, gruppe, computerkonto, app Microsoft Entra ID-beskyttelse via Defender for Cloud Apps (Microsoft Entra ID), Defender for Identity (Active Directory-domæneservices [AD DS]) Defender for Cloud Apps
Seneste appaktivitet, f.eks. dataadgang Apps med Defender for Cloud Apps med tilføjelsesprogrammet appstyring Defender for Cloud Apps

Ny aktivitet

Hackeren opretter nye enheder for at fremme deres rækkevidde, installere malwareagenter eller undgå registrering.

Aktivitet Signalkilde Alternativ sikkerhedsportal
Nye apps, der er installeret Defender for Cloud Apps med tilføjelsesprogrammet til appstyring Defender for Cloud Apps
Nye brugerkonti Azure Identity Protection Defender for Cloud Apps
Rolleændringer Azure Identity Protection Defender for Cloud Apps

Mistænkelig funktionsmåde

Hackeren downloader følsomme oplysninger, krypterer filer eller på anden måde indsamler eller beskadiger organisationens aktiver.

Funktionsmåde Signalkilde
Malware spredes til flere enheder Defender for Endpoint
Ressourcescanning Defender for Endpoint, Defender for Identity
Ændringer i reglerne for videresendelse af postkasse Defender for Office 365
Dataudfiltrering og kryptering Defender for Office 365

-*Monitor for Adversary Deabling Security** - da dette ofte er en del af menneskeligt drevet ransomware (HumOR) angreb kæde

  • Rydning af hændelseslogge – især logfiler for sikkerhedshændelser og PowerShell-handlingslogge
  • Deaktivering af sikkerhedsværktøjer/kontrolelementer (knyttet til nogle grupper)

Registrer ransomware-angreb med Microsoft Defender-portalen

Portalen Microsoft Defender indeholder en central visning af oplysninger om registreringer, påvirkede aktiver, automatiserede handlinger og relaterede beviser en kombination af:

  • En hændelseskø, som grupperer relaterede beskeder for et angreb for at give det fulde angrebsomfang, påvirkede aktiver og automatiserede afhjælpningshandlinger.
  • En beskedkø, der viser alle de beskeder, der spores af Microsoft Defender XDR.

Kilder til hændelser og beskeder

Microsoft Defender portal centraliserer signaler fra:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps (herunder tilføjelsesprogrammet til appstyring)
  • Microsoft Entra ID-beskyttelse
  • Microsoft Defender til IoT

I denne tabel vises nogle typiske angreb og deres tilsvarende signalkilde for Microsoft Defender XDR.

Angreb og hændelser Signalkilde
Cloud-identitet: Adgangskodespray, adskillige mislykkede forsøg, forsøg på at logge på flere enheder på kort tid, flere førstegangslogon, seneste aktive brugerkonti Microsoft Entra ID-beskyttelse
AD DS (On-Premises Identity) kompromitterer Defender for Identity
Phishing Defender for Office 365
Skadelige apps Defender for Cloud Apps eller Defender for Cloud Apps med tilføjelsesprogrammet appstyring
Kompromitteret slutpunkt (enhed) Defender for Endpoint
IoT-kompatibel enhed kompromitterer Defender for IoT

Filtrering af ransomware-identificerede hændelser

Du kan nemt filtrere hændelseskøen for hændelser, der er kategoriseret af Microsoft Defender XDR som ransomware.

  1. I navigationsruden Microsoft Defender portalen skal du gå til hændelseskøen ved at vælge Hændelser og beskeder > Hændelser.
  2. Vælg Filtre.
  3. Under Kategorier skal du vælge Ransomware, vælge Anvend og derefter lukke ruden Filtre .

Hver filterindstilling for hændelseskøen opretter en URL-adresse, som du kan gemme og få adgang til senere som et link. Disse URL-adresser kan bogmærkes eller på anden måde gemmes og bruges, når det er nødvendigt med et enkelt klik. Du kan f.eks. oprette bogmærker for:

  • Hændelser, der indeholder kategorien "ransomware". Her er det tilsvarende link.
  • Hændelser med et angivet agentnavn , der er kendt for at udføre ransomware-angreb.
  • Hændelser med et angivet Associated threat-navn , der er kendt for at blive brugt i ransomware-angreb.
  • Hændelser, der indeholder et brugerdefineret tag, som dit SecOps-team bruger til hændelser, der er kendt for at være en del af et større, koordineret ransomware-angreb.

Filtrering af ransomware-identificerede trusselsanalyserapporter

På samme måde som med filtrering af hændelser i hændelseskøen kan du filtrere trusselsanalyserapporter for rapporter, der omfatter ransomware.

  1. Vælg Trusselsanalyse i navigationsruden.
  2. Vælg Filtre.
  3. Under Trusselstags skal du vælge Ransomware, vælge Anvend og derefter lukke ruden Filtre .

Du kan også klikke på dette link.

I afsnittet Oplysninger om registrering i mange rapporter om trusselsanalyse kan du se en liste over beskednavne, der er oprettet for truslen.

Microsoft Defender XDR API'er

Du kan også bruge api'erne til Microsoft Defender XDR til at forespørge om de Microsoft Defender XDR hændelser og beskeder i din lejer. En brugerdefineret app kan filtrere dataene, filtrere dem baseret på brugerdefinerede indstillinger og derefter angive en filtreret liste over links til beskeder og hændelser, som du nemt kan vælge for at gå direkte til den pågældende besked eller hændelse. Se Liste over hændelses-API'er i Microsoft Defender XDR| Microsoft Docs. Du kan også integrere din SIEM med Microsoft Defender under Integrer dine SIEM-værktøjer med Microsoft Defender XDR.

Microsoft Defender XDR Sentinel-integration

Microsoft Sentinels Microsoft Defender XDR hændelsesintegration giver dig mulighed for at streame alle Microsoft Defender XDR hændelser til Microsoft Sentinel og holde dem synkroniseret mellem begge portaler. Hændelser omfatter alle tilknyttede beskeder, enheder og relevante oplysninger. Når du er i Sentinel, forbliver hændelser synkroniseret tovejs med Microsoft Defender XDR, så du kan drage fordel af fordelene ved begge portaler i din hændelsesundersøgelse. Se, Microsoft Defender XDR integration med Microsoft Sentinel.

Proaktiv scanning med avanceret jagt

Avanceret jagt er et forespørgselsbaseret trusselsjagtværktøj, der giver dig mulighed for at udforske og inspicere hændelser i dit netværk for at finde trusselsindikatorer og enheder. Dette fleksible analyseværktøj, der kan tilpasses, gør det muligt at jagte både kendte og potentielle trusler uden begrænsninger. Microsoft Defender XDR understøtter også brug af en brugerdefineret forespørgsel til at oprette regler for brugerdefineret registrering, som opretter beskeder, der er baseret på en forespørgsel, og som kan planlægges til at køre automatisk.

Til proaktiv scanning af ransomware-aktiviteter skal du samle et katalog over avancerede jagtforespørgsler for almindeligt anvendte ransomware-angrebsmetoder til identiteter, slutpunkter, apps og data. Her er nogle vigtige kilder til brugsklare avancerede jagtforespørgsler:

Automatiseret jagt

Avancerede jagtforespørgsler kan også bruges til at oprette brugerdefinerede regler og handlinger for registrering baseret på kendte elementer af en ransomware-angrebsmetode (for eksempel brugen af usædvanlige PowerShell-kommandoer). Brugerdefinerede registreringsregler opretter beskeder, der kan ses og håndteres af dine sikkerhedsanalytikere.

Hvis du vil oprette en brugerdefineret registreringsregel, skal du vælge Create brugerdefineret registreringsregel på siden i en avanceret jagtforespørgsel. Når du har oprettet, kan du angive:

  • Hvor ofte reglen for brugerdefineret registrering skal køres
  • Alvorsgraden af den besked, der er oprettet af reglen
  • MITRE-angrebsfasen for den oprettede besked
  • Påvirkede enheder
  • Handlinger, der skal udføres på påvirkede enheder

Forbered dit SecOps-team til fokuseret ransomware-registrering

Forberedelse af dit SecOps-team til proaktiv ransomware-registrering kræver:

  • Førarbejde for dit SecOps-team og din organisation
  • Oplæring af sikkerhedsanalytiker efter behov
  • Løbende operationelt arbejde med at inkorporere de nyeste angreb og registreringsoplevelser fra dine sikkerhedsanalytikere

Førarbejde for dit SecOps-team og din organisation

Overvej disse trin for at gøre dit SecOps-team og din organisation klar til fokuseret forebyggelse af ransomware-angreb:

  1. Konfigurer din it- og cloudinfrastruktur til ransomware-forebyggelse med hurtig udrulning af ransomware-forebyggelse – fase 3: Gør det svært at få vejledning. Faserne og opgaverne i denne vejledning kan udføres parallelt med følgende trin.
  2. Hent de relevante licenser til Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, tilføjelsesprogrammet til appstyring, Defender for IoT og Microsoft Entra ID-beskyttelse tjenester.
  3. Saml et katalog over avancerede jagtforespørgsler, der er tilpasset kendte ransomware-angrebsmetoder eller angrebsfaser.
  4. Create sættet af brugerdefinerede opdagelsesregler for specifikke avancerede jagtforespørgsler, der opretter beskeder om kendte ransomware-angrebsmetoder, herunder deres tidsplan, navngivning af beskeder og automatiserede handlinger.
  5. Bestem sættet af brugerdefinerede tags eller standarder for at oprette nye for at identificere hændelser, der er kendt for at være en del af et større, koordineret ransomware-angreb
  6. Bestem sættet af driftsopgaver for ransomware-hændelses- og advarselsstyring. Det kan f.eks. være:
    • Processer for niveau 1-analytikerscanning af indgående hændelser og beskeder og tildeling til niveau 2-analytikere med henblik på undersøgelse.
    • Manuelt kørsel af avancerede jagtforespørgsler og deres tidsplan (dagligt, ugentligt, månedligt).
    • Igangværende ændringer baseret på ransomware-angrebsundersøgelse og afhjælpningsoplevelser.

Oplæring af sikkerhedsanalytikere

Efter behov kan du give dine sikkerhedsanalytikere intern træning i:

  • Almindelige ransomware-angrebskæder (MITRE-angrebstaktik og almindelige trusselsteknikker og malware)
  • Hændelser og beskeder, og hvordan du finder og analyserer dem på Microsoft Defender portalen ved hjælp af:
    • Beskeder og hændelser, der allerede er oprettet af Microsoft Defender XDR
    • Forudscannede URL-baserede filtre for Microsoft Defender-portalen
    • Programmatisk via HÆNDELSES-API'en
  • Avancerede jagtforespørgsler, der skal bruges, og deres manuelle tidsplan (dagligt, ugentligt, månedligt)
  • Brugerdefinerede registreringsregler, der skal bruges, og deres indstillinger
  • Brugerdefinerede hændelseskoder
  • De seneste trusselsanalyserapporter for ransomware-angreb på Microsoft Defender portalen

Løbende arbejde baseret på operationel læring og nye trusler

Som en del af secOps-teamets løbende værktøjs- og proces bedste fremgangsmåder og sikkerhedsanalytikernes oplevelser bør du:

  • Opdater dit katalog over avancerede jagtforespørgsler med:
    • Nye forespørgsler, der er baseret på de nyeste rapporter om trusselsanalyser på Microsoft Defender-portalen eller GitHub-lageret avanceret jagt.
    • Ændringer af eksisterende ændringer for at optimere til trusselsidentifikation eller for at få en bedre beskedkvalitet.
  • Opdater regler for brugerdefineret registrering baseret på nye eller ændrede avancerede jagtforespørgsler.
  • Opdater sættet af driftsopgaver til ransomware-registrering.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.