Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les ransomwares gérés par l’homme continuent de maintenir sa position comme l’une des tendances de cyber-attaque les plus impactées dans le monde entier et est une menace importante que de nombreuses organisations ont rencontrées ces dernières années. Ces attaques tirent parti des mauvaises configurations réseau et prospèrent sur la sécurité intérieure faible d’une organisation. Bien que ces attaques présentent un danger clair et présent pour les organisations et leur infrastructure informatique et leurs données, elles constituent une catastrophe évitable.
L’équipe de réponse aux incidents Microsoft (anciennement DART/CRSP) répond aux compromis de sécurité pour aider les clients à devenir cyber-résilients. La réponse aux incidents Microsoft fournit une réponse réactive aux incidents sur site et des enquêtes proactives à distance. Microsoft Incident Response s’appuie sur les partenariats stratégiques de Microsoft avec les organisations de sécurité du monde entier et les groupes de produits Microsoft internes pour fournir l’examen le plus complet et approfondi possible.
Cet article décrit comment La réponse aux incidents Microsoft a examiné un incident de ransomware récent avec des détails sur les tactiques d’attaque et les mécanismes de détection.
Consultez la partie 1 et la partie 2 du guide de la réponse aux incidents Microsoft pour lutter contre les ransomwares gérés par l’homme pour plus d’informations.
L’attaque
La réponse aux incidents Microsoft tire parti des outils et tactiques de réponse aux incidents pour identifier les comportements des acteurs des menaces pour les ransomwares gérés par l’homme. Les informations publiques sur les événements de ransomware se concentrent sur l’impact final, mais mettent rarement en évidence les détails de l’opération et la façon dont les acteurs de menace ont pu élever leur accès non détecté pour découvrir, monétiser et extorter.
Voici quelques techniques courantes que les attaquants utilisent pour les attaques par ransomware en fonction des tactiques MITRE ATT&CK.
La réponse aux incidents de Microsoft a utilisé Microsoft Defender for Endpoint pour suivre l’attaquant dans l’environnement, créer un compte rendu de l’incident, puis éradiquer la menace et remédier à la situation. Une fois déployé, Defender pour Endpoint a commencé à détecter les connexions réussies à partir d’une attaque par force brute. Lorsque Microsoft Incident Response a découvert cela, ils ont examiné les données de sécurité et trouvé plusieurs appareils vulnérables accessibles sur Internet à l’aide du protocole RDP (Remote Desktop Protocol).
Une fois l’accès initial obtenu, l’acteur de menace a utilisé l’outil de collecte des informations d’identification Mimikatz pour vider les hachages de mots de passe, recherché des informations d’identification stockées en texte clair, créé des portes dérobées avec manipulation des 'Sticky Keys', et s'est déplacé latéralement dans tout le réseau à l’aide de sessions de bureau à distance.
Pour cette étude de cas, voici le chemin mis en évidence par l’attaquant.
Les sections suivantes décrivent des détails supplémentaires basés sur les tactiques MITRE ATT&CK et incluent des exemples de la façon dont les activités de l'acteur malveillant ont été détectées sur le portail Microsoft Defender.
Accès initial
Les campagnes de ransomware utilisent des vulnérabilités connues pour leur entrée initiale, généralement à l’aide d’e-mails d’hameçonnage ou de faiblesses dans la défense de périmètre, comme les appareils avec le service Remote Desktop activé exposé sur Internet.
Pour cet incident, La réponse aux incidents Microsoft a réussi à localiser un appareil avec le port TCP 3389 pour RDP exposé à Internet. Cela a permis aux cybercriminels d’effectuer une attaque d’authentification par force brute et d’obtenir un premier accès.
Microsoft Defender pour point de terminaison a utilisé le renseignement sur les menaces pour déterminer la présence de nombreuses connexions provenant de sources de force brute connues et les a affichées dans le portail Microsoft Defender. Voici un exemple.
Reconnaissance technique
Une fois l’accès initial réussi, l’énumération de l’environnement et la découverte d’appareils ont commencé. Ces activités ont permis aux acteurs des menaces d’identifier des informations sur le réseau interne de l’organisation et de cibler des systèmes critiques tels que les contrôleurs de domaine, les serveurs de sauvegarde, les bases de données et les ressources cloud de l’organisation. Après l’énumération et la découverte de l’appareil, les acteurs de menace ont effectué des activités similaires pour identifier les comptes d’utilisateurs vulnérables, les groupes, les autorisations et les logiciels.
L’acteur de menace a utilisé Advanced IP Scanner, un outil d’analyse d’adresses IP, pour énumérer les adresses IP utilisées dans l’environnement et effectuer l’analyse de port ultérieure. L’acteur de menace a analysé les ports ouverts pour découvrir les appareils accessibles à partir de l’appareil initialement compromis.
Cette activité a été détectée dans Defender pour point de terminaison et utilisée comme indicateur de compromission (IoC) pour une investigation plus approfondie. Voici un exemple.
Vol d’informations d’identification
Une fois que les acteurs des menaces ont obtenu l’accès initial, ils ont effectué la collecte des informations d’identification à l’aide de l’outil de récupération de mot de passe Mimikatz et en recherchant des fichiers contenant « mot de passe » sur les systèmes initialement compromis. Ces actions ont permis aux acteurs de menace d’accéder à des systèmes supplémentaires avec des informations d’identification légitimes. Dans de nombreuses situations, les acteurs de menace utilisent ces comptes pour créer des comptes supplémentaires pour maintenir la persistance après l’identification et la correction des comptes compromis initiaux.
Voici un exemple d'utilisation détectée du Mimikatz dans le portail Microsoft Defender.
Mouvement latéral
Le déplacement entre les points de terminaison peut varier entre différentes organisations, mais les acteurs des menaces utilisent généralement différentes variétés de logiciels de gestion à distance qui existent déjà sur l’appareil. En utilisant des méthodes d’accès à distance que le service informatique utilise couramment dans leurs activités quotidiennes, les acteurs des menaces peuvent voler sous le radar pendant des périodes prolongées.
Réponse aux incidents Microsoft a utilisé Microsoft Defender for Identity pour cartographier le parcours que l’acteur de menace a pris entre les appareils, et a affiché les comptes utilisés et accessibles. Voici un exemple.
Évasion de défense
Pour éviter la détection, les acteurs de la menace ont utilisé des techniques d’évasion de défense pour éviter l’identification et atteindre leurs objectifs tout au long du cycle d’attaque. Ces techniques incluent la désactivation ou la falsification de produits antivirus, la désinstallation ou la désactivation des produits ou fonctionnalités de sécurité, la modification des règles de pare-feu et l’utilisation de techniques d’obfuscation pour masquer les artefacts d’une intrusion à partir de produits et services de sécurité.
L’acteur de menace pour cet incident a utilisé PowerShell pour désactiver la protection en temps réel pour Microsoft Defender sur Windows 11 et les appareils Windows 10 et les outils de mise en réseau locaux pour ouvrir le port TCP 3389 et autoriser les connexions RDP. Ces modifications ont diminué les chances de détection dans un environnement, car elles ont modifié les services système qui détectent et alertent sur les activités malveillantes.
Toutefois, Defender pour point de terminaison ne peut pas être désactivé à partir de l’appareil local et a pu détecter cette activité. Voici un exemple.
Persistance
Les techniques de persistance incluent les actions effectuées par les acteurs des menaces pour maintenir un accès cohérent aux systèmes après que des efforts sont déployés par le personnel de sécurité pour reprendre le contrôle des systèmes compromis.
Les acteurs des menaces pour cet incident ont utilisé le hack Sticky Keys, car il permet l’exécution à distance d’un binaire à l’intérieur du système d’exploitation Windows sans authentification. Ils ont ensuite utilisé cette fonctionnalité pour lancer une invite de commandes et effectuer d’autres attaques.
Voici un exemple de détection du piratage sticky Keys dans le portail Microsoft Defender.
Impact
Les acteurs des menaces chiffrent généralement les fichiers à l’aide d’applications ou de fonctionnalités qui existent déjà dans l’environnement. L’utilisation de PsExec, de stratégie de groupe et de gestion de la configuration des points de terminaison Microsoft sont des méthodes de déploiement qui permettent à un acteur d’atteindre rapidement des points de terminaison et des systèmes sans perturber les opérations normales.
L’acteur de menace pour cet incident a utilisé PsExec pour exécuter à distance un script PowerShell interactif à partir de différents partages distants. Cette méthode d’attaque aléatoire les points de distribution et rend la correction plus difficile pendant la phase finale de l’attaque par ransomware.
Exécution de ransomware
L’exécution de ransomware est l’une des principales méthodes utilisées par un acteur de menace pour monétiser leur attaque. Quelle que soit la méthodologie d’exécution, les frameworks de ransomware distincts ont tendance à avoir un modèle comportemental commun une fois déployé :
- Camoufler les actions des acteurs malveillants
- Établir la persistance
- Désactiver la récupération des erreurs Windows et la réparation automatique
- Arrêter une liste de services
- Terminer une liste de processus
- Supprimer des copies d'ombre et des sauvegardes
- Chiffrer des fichiers, éventuellement en spécifiant des exclusions personnalisées
- Créer une note de ransomware
Voici un exemple de note de ransomware.
Ressources de ransomware supplémentaires
Informations clés de Microsoft :
- Menace croissante des rançongiciels, billet de blog Microsoft On the Issues du 20 juillet 2021
- Rançongiciels d'origine humaine
- Se protéger rapidement contre les rançongiciels et l'extorsion
- Rapport de défense numérique Microsoft 2021 (voir les pages 10 à 19)
- Ransomware : une menace omniprésente et persistante rapport d’analyse des menaces dans le portail Microsoft Defender
- Approche de réponse aux incidents de ransomware de Microsoft et ses meilleures pratiques
Microsoft 365 :
- Déployez la protection contre les ransomwares pour votre locataire Microsoft 365
- Optimisez la résilience contre les ransomwares avec Azure et Microsoft 365
- Récupération après une attaque par ransomware
- Protection contre les programmes malveillants et les ransomware
- Protéger votre PC Windows 10 à partir d’un ransomware
- Gestion des ransomwares dans SharePoint Online
- rapports d'analyses des menaces pour les ransomwares dans le portail Microsoft Defender
Microsoft Defender XDR :
Microsoft Defender for Cloud Apps :
Microsoft Azure :
- Azure Défenses contre les attaques par ransomware
- Optimisez la résilience contre les ransomwares avec Azure et Microsoft 365
- Plan de sauvegarde et restauration pour la protection contre les rançongiciels
- Aidez à vous protéger contre les ransomwares avec Microsoft Azure Backup (vidéo de 26 minutes)
- Récupération après une compromission de l'identité systémique
- Détection avancée d’attaques multistages dans Microsoft Sentinel
- détection de fusion pour rançongiciel dans Microsoft Sentinel
Articles de blog de l’équipe de sécurité Microsoft :
3 étapes pour prévenir et récupérer d'une attaque de ransomware (septembre 2021)
Guide de lutte contre les rançongiciels d'origine humaine : partie 1 (septembre 2021)
Étapes clés sur la façon dont Microsoft Incident Response effectue des enquêtes sur les incidents de ransomware.
Guide de lutte contre le rançongiciel gérés par l’homme : Partie 2 (septembre 2021)
Recommandations et bonnes pratiques.
-
Cf. section Ransomware.
Human-operated ransomware attacks: A preventable disaster (Attaques par ransomware dirigées par une main humaine : un incident évitable) (mars 2020)
Inclut des analyses de chaîne d’attaques des attaques réelles.
Réponse aux ransomwares : payer ou ne pas payer ? (décembre 2019)
Norsk Hydro responds to ransomware attack with transparency (Norsk Hydro répond avec transparence à une attaque par ransomware) (décembre 2019)