Partager via


Détection des attaques par rançongiciel gérées par l’homme Microsoft Defender XDR

Remarque

Vous voulez découvrir Microsoft Defender XDR ? En savoir plus sur la façon dont vous pouvez évaluer et piloter Microsoft Defender XDR.

Le ransomware est un type d’attaque d’extorsion qui détruit ou chiffre des fichiers et des dossiers, empêchant l’accès aux données critiques ou perturbant les systèmes d’entreprise critiques. Il existe deux types de ransomware :

  • Les rançongiciels de base sont des logiciels malveillants qui se propagent avec le hameçonnage ou entre les appareils et chiffrent les fichiers avant de demander une rançon.
  • Le rançongiciel géré par l’homme est une attaque planifiée et coordonnée par des cybercriminels actifs qui utilisent plusieurs méthodes d’attaque. Dans de nombreux cas, des techniques et des outils connus sont utilisés pour infiltrer votre organization, trouver les ressources ou les systèmes à extorquer, puis demander une rançon. En cas de compromission d’un réseau, l’attaquant effectue la reconnaissance des ressources et des systèmes qui peuvent être chiffrés ou extorqués. Les attaquants chiffrent ou exfiltrent ensuite les données avant d’exiger une rançon.

Cet article décrit la détection proactive des attaques par rançongiciels nouvelles ou en cours avec le portail Microsoft Defender, une solution de détection et de réponse étendue (XDR) pour les services de sécurité suivants :

  • Microsoft Defender pour point de terminaison
  • Microsoft Defender pour Office 365
  • Microsoft Defender pour l’identité
  • Microsoft Defender for Cloud Apps (y compris le module complémentaire de gouvernance des applications)
  • Protection Microsoft Entra ID
  • Microsoft Defender pour IoT
  • Microsoft 365 Business Premium
  • Microsoft Defender pour les PME

Pour plus d’informations sur la prévention des attaques par ransomware, consultez Déployer rapidement des préventions contre les ransomwares - Phase 3 : Rendre l’accès difficile.

L’importance de la détection proactive

Étant donné que les rançongiciels gérés par l’homme sont généralement effectués par des attaquants actifs qui peuvent effectuer les étapes pour infiltrer et découvrir vos données et systèmes les plus précieux en temps réel, le temps nécessaire pour détecter les attaques par ransomware est crucial.

Si des activités de pré-rançon sont détectées rapidement, la probabilité d’une attaque grave diminue. L’étape de pré-rançon comprend généralement les techniques suivantes : accès initial, reconnaissance, vol d’informations d’identification, mouvement latéral et persistance. Ces techniques peuvent initialement sembler sans rapport et souvent passer sous le radar. Si ces techniques mènent à l’étape de rançon, il est souvent trop tard. Microsoft Defender XDR peut aider à identifier ces incidents de petite taille et apparemment non liés dans le cadre d’une campagne de ransomware plus grande.

  • Lorsqu’elles sont détectées pendant la phase de pré-rançon, des mesures d’atténuation à plus petite échelle, telles que l’isolation des appareils infectés ou des comptes d’utilisateur, peuvent être utilisées pour interrompre et corriger l’attaque.
  • Si la détection intervient à un stade ultérieur, par exemple lorsque le programme malveillant utilisé pour chiffrer les fichiers est déployé, des étapes de correction plus agressives pouvant entraîner un temps d’arrêt peuvent être nécessaires pour interrompre et corriger l’attaque.

Les interruptions des opérations commerciales sont susceptibles de se produire en réponse à une attaque par rançongiciel. L’étape finale d’une attaque par rançongiciel est souvent un choix entre un temps d’arrêt causé par des attaquants présentant des risques majeurs ou un temps d’arrêt contrôlé pour garantir la sécurité du réseau et vous donner le temps d’enquêter entièrement. Nous vous déconseillons de payer une rançon. Payer des cybercriminels pour obtenir une clé de déchiffrement de ransomware ne fournit aucune garantie que vos données chiffrées seront restaurées. Consultez Réponse au ransomware - Blog sur la sécurité Microsoft.

Voici la relation qualitative entre l’impact d’une attaque par rançongiciel et votre temps de réponse en cas d’absence de détection et de détection et de réponse proactives.

La relation qualitative entre l’impact d’une attaque par rançongiciel et votre temps de réponse pour l’absence de détection et la détection proactive et la réponse, montrant l’impact sur votre entreprise réduit, plus vous répondez rapidement.

Détection proactive via des outils et techniques de logiciels malveillants courants

Dans de nombreux cas, les attaquants de ransomware gérés par l’homme utilisent des tactiques, des techniques, des outils et des procédures de programmes malveillants connus et testés sur le terrain, notamment le hameçonnage, la compromission des e-mails professionnels (BEC) et le vol d’informations d’identification. Vos analystes de sécurité doivent prendre connaissance de la façon dont les attaquants utilisent des programmes malveillants courants et des méthodes de cyberattaque pour prendre pied dans votre organization.

Pour voir des exemples de la façon dont les attaques par rançongiciel commencent avec des programmes malveillants courants, consultez les ressources suivantes :

Être familiarisé avec les logiciels malveillants, les charges utiles et les activités pré-rançon permet à vos analystes de savoir ce qu’il faut rechercher pour empêcher les étapes ultérieures d’une attaque.

Tactiques d’attaque par ransomware gérées par l’homme

Étant donné que les rançongiciels gérés par l’homme peuvent utiliser des techniques et des outils d’attaque connus, la compréhension et l’expérience de vos analystes avec les techniques et outils d’attaque existants seront un atout précieux lors de la préparation de votre équipe SecOps pour les pratiques de détection de ransomware ciblées.

Tactiques et méthodes d’attaque

Voici quelques techniques et outils classiques utilisés par les attaquants de ransomware pour les tactiques MITRE ATT&CK suivantes :

Accès initial :

  • Force brute RDP
  • Système accessible sur Internet vulnérable
  • Paramètres d’application faibles
  • Courrier d’hameçonnage

Vol d’informations d’identification :

  • Mimikatz
  • Secrets LSA
  • Coffre d’informations d’identification
  • Informations d’identification en texte clair
  • Abus de comptes de service

Mouvement latéral :

  • Cobalt Strike
  • WMI
  • Utilisation abusive des outils de gestion
  • PsExec

Persistance:

  • Nouveaux comptes
  • Modifications des objets de stratégie de groupe
  • Outils d’informatique fantôme
  • Planifier des tâches
  • Inscription du service

Évasion de défense :

  • Désactivation des fonctionnalités de sécurité
  • Effacement des fichiers journaux
  • Suppression des fichiers d’artefact d’attaque
  • Réinitialisation des horodatages sur les fichiers modifiés

Exfiltration:

  • Exfiltration de données sensibles Impact (levier financier) :
  • Chiffrement des données sur place et dans les sauvegardes
  • Suppression des données sur place et sauvegardes, qui peuvent être combinées avec une exfiltration précédente
  • Menace de fuite publique de données sensibles exfiltrées

Ce qu’il faut rechercher

Le défi pour les analystes de sécurité est de reconnaître qu’une alerte fait partie d’une chaîne d’attaque plus large dans le but d’extorquer vos données sensibles ou vos systèmes essentiels. Par exemple, une attaque par hameçonnage détectée peut être :

  • Une attaque ponctuelle pour surveiler les e-mails d’une personne dans le service financier d’un organization.
  • Partie de pré-rançon d’une chaîne d’attaque pour utiliser les informations d’identification de compte d’utilisateur compromises pour découvrir les ressources disponibles pour le compte d’utilisateur et pour compromettre d’autres comptes d’utilisateur avec des niveaux plus élevés de privilèges et d’accès.

Cette section fournit les phases et méthodes d’attaque courantes, ainsi que les sources de signal qui alimentent le portail central Microsoft Defender, qui crée des alertes et des incidents composés de plusieurs alertes associées pour l’analyse de la sécurité. Dans certains cas, il existe d’autres portails de sécurité pour afficher les données d’attaque.

Attaques initiales pour obtenir une entrée

L’attaquant tente de compromettre un compte d’utilisateur, un appareil ou une application.

Méthode d’attaque Source du signal Autres portails de sécurité
Force brute RDP Defender pour point de terminaison Defender for Cloud Apps
Système accessible sur Internet vulnérable Fonctionnalités de sécurité Windows, Microsoft Defender pour les serveurs
Paramètres d’application faibles Defender for Cloud Apps, Defender for Cloud Apps avec le module complémentaire de gouvernance des applications Defender for Cloud Apps
Activité d’application malveillante Defender for Cloud Apps, Defender for Cloud Apps avec le module complémentaire de gouvernance des applications Defender for Cloud Apps
Courrier d’hameçonnage Defender pour Office 365
Pulvérisation de mot de passe sur des comptes Microsoft Entra Protection Microsoft Entra ID via Defender for Cloud Apps Defender for Cloud Apps
Pulvérisation de mot de passe sur des comptes locaux Microsoft Defender pour l’identité
Compromission de l’appareil Defender pour point de terminaison
Vol d’informations d’identification Microsoft Defender pour l’identité
Élévation de privilèges Microsoft Defender pour l’identité

Pic récent dans un comportement par ailleurs typique

L’attaquant tente de rechercher d’autres entités à compromettre.

Catégorie de pics Source du signal Autres portails de sécurité
Connexions : nombreuses tentatives ayant échoué, tentatives d’ouverture de session sur plusieurs appareils en peu de temps, ouvertures de session initiales multiples, etc. Protection Microsoft Entra ID via Defender for Cloud Apps, Microsoft Defender pour Identity Defender for Cloud Apps
Compte d’utilisateur, groupe, compte d’ordinateur, application récemment actif Protection Microsoft Entra ID via Defender for Cloud Apps (Microsoft Entra ID), Defender pour Identity (services de domaine Active Directory [AD DS]) Defender for Cloud Apps
Activité d’application récente telle que l’accès aux données Applications avec Defender for Cloud Apps avec le module complémentaire de gouvernance des applications Defender for Cloud Apps

Nouvelle activité

L’attaquant crée de nouvelles entités pour améliorer leur portée, installer des agents de logiciels malveillants ou échapper à la détection.

Activité Source du signal Autre portail de sécurité
Nouvelles applications installées Defender for Cloud Apps avec le module complémentaire de gouvernance des applications Defender for Cloud Apps
Nouveaux comptes d’utilisateur Azure Identity Protection Defender for Cloud Apps
Changements de rôle Azure Identity Protection Defender for Cloud Apps

Comportement suspect

L’attaquant télécharge des informations sensibles, chiffre des fichiers ou collecte ou endommage des ressources organization.

Comportement Source du signal
Les programmes malveillants se propagent à plusieurs appareils Defender pour point de terminaison
Analyse des ressources Defender pour point de terminaison, Defender pour Identity
Modifications apportées aux règles de transfert de boîte aux lettres Defender pour Office 365
Exfiltration et chiffrement des données Defender pour Office 365

-*Surveiller la désactivation de la sécurité de l’adversaire** – car cela fait souvent partie de la chaîne d’attaques de ransomware géré par l’homme (HumOR)

  • Effacement des journaux d’événements , en particulier le journal des événements de sécurité et les journaux opérationnels PowerShell
  • Désactivation des outils/contrôles de sécurité (associés à certains groupes)

Détecter les attaques par ransomware avec le portail Microsoft Defender

Le portail Microsoft Defender fournit une vue centralisée pour obtenir des informations sur les détections, les ressources impactées, les actions automatisées effectuées et les preuves associées, une combinaison de :

  • Une file d’attente d’incidents, qui regroupe les alertes associées pour une attaque afin de fournir l’étendue complète de l’attaque, les ressources impactées et les actions de correction automatisées.
  • Une file d’attente d’alertes, qui répertorie toutes les alertes suivies par Microsoft Defender XDR.

Sources d’incident et d’alerte

Microsoft Defender portail centralise les signaux en provenance de :

  • Microsoft Defender pour point de terminaison
  • Microsoft Defender pour Office 365
  • Microsoft Defender pour l’identité
  • Microsoft Defender for Cloud Apps (y compris le module complémentaire de gouvernance des applications)
  • Protection Microsoft Entra ID
  • Microsoft Defender pour IoT

Ce tableau répertorie certaines attaques classiques et leur source de signal correspondante pour Microsoft Defender XDR.

Attaques et incidents Source du signal
Identité cloud : pulvérisation de mot de passe, nombreuses tentatives ayant échoué, tentatives de connexion à plusieurs appareils sur une courte période, ouvertures de session multiples pour la première fois, comptes d’utilisateur récemment actifs Protection Microsoft Entra ID
Compromission de l’identité locale (AD DS) Defender pour l’identité
Hameçonnage Defender pour Office 365
Applications malveillantes Complément Defender for Cloud Apps ou Defender for Cloud Apps avec gouvernance des applications
Compromission du point de terminaison (appareil) Defender pour point de terminaison
Compromission des appareils compatibles IoT Defender pour IoT

Filtrage des incidents identifiés par un ransomware

Vous pouvez facilement filtrer la file d’attente des incidents qui ont été classés par Microsoft Defender XDR comme ransomware.

  1. Dans le volet de navigation du portail Microsoft Defender, accédez à la file d’attente des incidents en sélectionnant Incidents et alertes > Incidents.
  2. Sélectionnez Filtres.
  3. Sous Catégories, sélectionnez Ransomware, sélectionnez Appliquer, puis fermez le volet Filtres .

Chaque paramètre de filtre pour la file d’attente des incidents crée une URL à laquelle vous pouvez enregistrer et accéder ultérieurement en tant que lien. Ces URL peuvent être marquées par un signet ou autrement enregistrées et utilisées si nécessaire en un seul clic. Par exemple, vous pouvez créer des signets pour :

  • Incidents contenant la catégorie « ransomware ». Voici le lien correspondant.
  • Incidents avec un nom d’acteur spécifié connu pour effectuer des attaques par ransomware.
  • Incidents avec un nom de menace associé spécifié connu pour être utilisé dans les attaques par ransomware.
  • Incidents contenant une étiquette personnalisée que votre équipe SecOps utilise pour les incidents connus pour faire partie d’une attaque de ransomware plus importante et coordonnée.

Filtrage des rapports d’analyse des menaces identifiées par les rançongiciels

À l’instar du filtrage des incidents dans la file d’attente des incidents, vous pouvez filtrer les rapports d’analyse des menaces pour les rapports qui incluent des rançongiciels.

  1. Dans le volet de navigation, sélectionnez Analyse des menaces.
  2. Sélectionnez Filtres.
  3. Sous Balises de menace, sélectionnez Ransomware, sélectionnez Appliquer, puis fermez le volet Filtres .

Vous pouvez également cliquer sur ce lien.

Dans la section Détails de la détection de nombreux rapports d’analyse des menaces, vous pouvez voir une liste de noms d’alerte créés pour la menace.

API Microsoft Defender XDR

Vous pouvez également utiliser les API Microsoft Defender XDR pour interroger les Microsoft Defender XDR données d’incidents et d’alertes dans votre locataire. Une application personnalisée peut filtrer les données, les filtrer en fonction de paramètres personnalisés, puis fournir une liste filtrée de liens vers des alertes et des incidents que vous pouvez facilement sélectionner pour accéder directement à cette alerte ou incident. Consultez l’API Répertorier les incidents dans Microsoft Defender XDR| Microsoft Docs. Vous pouvez également intégrer votre SIEM à Microsoft Defender. Consultez Intégrer vos outils SIEM à Microsoft Defender XDR.

Intégration Microsoft Defender XDR Sentinel

L’intégration des incidents Microsoft Defender XDR de Microsoft Sentinel vous permet de diffuser en continu tous les incidents Microsoft Defender XDR dans Microsoft Sentinel et de les maintenir synchronisés entre les deux portails. Les incidents incluent toutes les alertes, entités et informations pertinentes associées. Une fois dans Sentinel, les incidents restent synchronisés bidirectionnellement avec Microsoft Defender XDR, ce qui vous permet de tirer parti des avantages des deux portails dans votre enquête sur les incidents. Consultez Microsoft Defender XDR’intégration à Microsoft Sentinel.

Analyse proactive avec repérage avancé

La chasse avancée est un outil de chasse aux menaces basé sur des requêtes qui vous permet d’explorer et d’inspecter les événements de votre réseau pour localiser les indicateurs de menace et les entités. Cet outil d’analyse flexible et personnalisable permet une chasse sans contrainte aux menaces connues et potentielles. Microsoft Defender XDR prend également en charge l’utilisation d’une requête personnalisée pour créer des règles de détection personnalisées, qui créent des alertes basées sur une requête et peuvent être planifiées pour s’exécuter automatiquement.

Pour une analyse proactive des activités de ransomware, vous devez assembler un catalogue de requêtes de repérage avancées pour les méthodes d’attaque par ransomware couramment utilisées pour les identités, les points de terminaison, les applications et les données. Voici quelques sources clés pour les requêtes de repérage avancées prêtes à l’emploi :

Chasse automatisée

Les requêtes de repérage avancées peuvent également être utilisées pour créer des règles de détection personnalisées et des actions basées sur des éléments connus d’une méthode d’attaque par ransomware (par exemple, l’utilisation de commandes PowerShell inhabituelles). Les règles de détection personnalisées créent des alertes qui peuvent être vues et traitées par vos analystes de sécurité.

Pour créer une règle de détection personnalisée, sélectionnez Create règle de détection personnalisée dans la page d’une requête de repérage avancée. Une fois créé, vous pouvez spécifier :

  • Fréquence d’exécution de la règle de détection personnalisée
  • Gravité de l’alerte créée par la règle
  • Phase d’attaque MITRE pour l’alerte créée
  • Entités impactées
  • Actions à effectuer sur les entités impactées

Préparer votre équipe SecOps pour la détection ciblée des ransomwares

Pour préparer votre équipe SecOps à la détection proactive des rançongiciels, vous devez :

  • Pré-travail pour votre équipe SecOps et organization
  • Formation des analystes de sécurité, selon les besoins
  • Travail opérationnel continu pour intégrer les dernières attaques et expériences de détection de vos analystes de sécurité

Pré-travail pour votre équipe SecOps et organization

Envisagez les étapes suivantes pour préparer votre équipe SecOps et organization à la prévention ciblée des attaques par ransomware :

  1. Configurez votre infrastructure informatique et cloud pour la prévention des ransomwares avec déployer rapidement des préventions contre les ransomwares - Phase 3 : Rendre difficile l’obtention de conseils. Les phases et les tâches de ce guide peuvent être effectuées parallèlement aux étapes suivantes.
  2. Obtenez les licences appropriées pour defender pour point de terminaison, Defender for Office 365, Defender pour Identity, Defender for Cloud Apps, le module complémentaire de gouvernance des applications, Defender pour IoT et Protection Microsoft Entra ID services.
  3. Assemblez un catalogue de requêtes de chasse avancées optimisées pour les méthodes d’attaque par rançongiciel connues ou les phases d’attaque.
  4. Create l’ensemble de règles de détection personnalisées pour des requêtes de repérage avancées spécifiques qui créent des alertes pour les méthodes d’attaque par rançongiciel connues, y compris leur planification, leur nommage d’alerte et les actions automatisées.
  5. Déterminer l’ensemble d’étiquettes ou de normes personnalisées pour en créer une afin d’identifier les incidents connus pour faire partie d’une attaque par ransomware plus grande et coordonnée
  6. Déterminez l’ensemble des tâches opérationnelles pour la gestion des incidents de ransomware et des alertes. Par exemple :
    • Processus pour l’analyse par les analystes de niveau 1 des incidents et alertes entrants et l’affectation aux analystes de niveau 2 pour investigation.
    • Exécution manuelle de requêtes de chasse avancées et de leur planification (quotidienne, hebdomadaire, mensuelle).
    • Modifications en cours basées sur les expériences d’investigation et d’atténuation des attaques par ransomware.

Formation des analystes de sécurité

Si nécessaire, vous pouvez fournir à vos analystes de sécurité une formation interne pour :

  • Chaînes d’attaques par ransomware courantes (tactiques d’attaque MITRE et techniques de menace courantes et programmes malveillants)
  • Incidents et alertes et comment les localiser et les analyser dans le portail Microsoft Defender à l’aide de :
    • Alertes et incidents déjà créés par Microsoft Defender XDR
    • Filtres basés sur des URL pré-analysés pour le portail Microsoft Defender
    • Par programmation via l’API incidents
  • Requêtes de chasse avancées à utiliser et leur planification manuelle (quotidienne, hebdomadaire, mensuelle)
  • Règles de détection personnalisées à utiliser et leurs paramètres
  • Étiquettes d’incident personnalisées
  • Les derniers rapports d’analyse des menaces pour les attaques par ransomware dans le portail Microsoft Defender

Travail continu basé sur l’apprentissage opérationnel et les nouvelles menaces

Dans le cadre des meilleures pratiques en matière d’outils et de processus de votre équipe SecOps et de l’expérience des analystes de sécurité, vous devez :

  • Mettez à jour votre catalogue de requêtes de chasse avancées avec :
    • Nouvelles requêtes basées sur les derniers rapports d’analyse des menaces dans le portail Microsoft Defender ou le référentiel GitHub Advanced Hunting.
    • Modifications apportées aux éléments existants afin d’optimiser l’identification des menaces ou d’améliorer la qualité des alertes.
  • Mettez à jour les règles de détection personnalisées basées sur des requêtes de repérage avancées nouvelles ou modifiées.
  • Mettez à jour l’ensemble des tâches opérationnelles pour la détection des rançongiciels.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.