Share via

Válasz a zsarolóvírus-támadásokra

  • Cikk

Megjegyzés:

Szeretne Microsoft Defender XDR-t használni? További információ arról, hogy hogyan értékelheti ki és próbálhatja ki a Microsoft Defender XDR-t.

Ha azt gyanítja, hogy zsarolóprogram-támadás alatt áll, azonnal hozzon létre biztonságos kommunikációt az incidensmegoldási csapattal. A támadás megszakításához és a kár mérsékléséhez a következő válaszfázisokat hajthatják végre:

  • Vizsgálat és elszigetelés
  • Felszámolás és helyreállítás

Ez a cikk egy általános forgatókönyvet biztosít a zsarolóprogram-támadásokra való reagáláshoz. Fontolja meg az ebben a cikkben ismertetett lépések és feladatok saját biztonsági üzemeltetési forgatókönyvhez való igazítását. MEGJEGYZÉS: A zsarolóprogram-támadások megelőzésével kapcsolatos információkért lásd: Zsarolóprogram-megelőzések gyors üzembe helyezése.

Elszigetelés

Az elszigetelést és a vizsgálatot a lehető legnagyobb mértékben egyidejűleg kell lefolytatni; azonban a visszatartóztatás gyors megvalósítására kell összpontosítania, hogy több ideje legyen a vizsgálatra. Ezek a lépések segítenek meghatározni a támadás hatókörét, és elkülöníteni csak az érintett entitásokra, például a felhasználói fiókokra és eszközökre.

1. lépés: Az incidens hatókörének felmérése

A támadás mértékének felderítéséhez futtassa végig ezt a kérdéseket és feladatokat tartalmazó listát. Microsoft Defender XDR összesített képet biztosíthat az összes érintett vagy veszélyeztetett eszközről, hogy segítséget nyújtson az incidensmegoldás értékeléséhez. Lásd: Incidenskezelés Microsoft Defender XDR. Az incidensben szereplő riasztások és bizonyítékok listájával meghatározhatja a következőt:

  • Mely felhasználói fiókok biztonsága sérülhet?
    • Mely fiókokkal kézbesítették a hasznos adatokat?
  • Mely előkészített és felderített eszközök érintettek, és hogyan?
    • Eredeti eszközök
    • Érintett eszközök
    • Gyanús eszközök
  • Azonosítsa az incidenshez társított hálózati kommunikációt.
  • Mely alkalmazások érintettek?
  • Milyen hasznos adatok terjedtek?
  • Hogyan kommunikál a támadó a feltört eszközökkel? (A hálózatvédelmet engedélyezni kell):
    • Lépjen a mutatók lapra , és adjon hozzá egy blokkot az IP-címhez és az URL-címhez (ha rendelkezik ezekkel az információkkal).
  • Mi volt a hasznos adatkézbesítési adathordozó?

2. lépés: Meglévő rendszerek megőrzése

A meglévő rendszerek támadásokkal szembeni védelméhez futtassa az alábbi feladatokat és kérdéseket:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10
  • Azok az eszközök, amelyek még nincsenek elkülönítve, és nem részei a kritikus infrastruktúranak:
    • Elkülönítheti a feltört eszközöket a hálózatról, de ne állítsa le őket.
    • Ha azonosítja a származó vagy terjesztő eszközöket, először különítse el őket.
  • A feltört rendszerek megőrzése elemzés céljából.

3. lépés: A spread megakadályozása

Ezzel a listával biztosíthatja, hogy a támadás továbbterjedjen a további entitásokra.

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
  • Kusto-lekérdezés nem RDP-bejelentkezésekhez (a legtöbb hálózat esetében reálisabb):
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

Vizsgálat

Ebben a szakaszban kivizsgálhatja a támadást, és megtervezheti a választ.

A jelenlegi helyzet felmérése

  • Mi volt az első tudomásod a zsarolóprogram-támadásról?
    • Ha az informatikai személyzet azonosította a kezdeti fenyegetést ( például a biztonsági másolatok törlésének észlelése, a víruskereső riasztások, a végpontészlelés és -válasz (EDR) riasztásai vagy a gyanús rendszerváltozások ), gyakran lehet gyors, határozott intézkedéseket hozni a támadás meghiúsítására, általában az ebben a cikkben ismertetett elszigetelési műveletek által.
  • Mikor és mikor értesült először az incidensről?
    • Milyen rendszer- és biztonsági frissítések nincsenek telepítve az adott napon az eszközökön? Ez fontos annak megértéséhez, hogy milyen biztonsági réseket lehetett kihasználni, hogy azok más eszközökön is kezelhetők legyenek.
    • Milyen felhasználói fiókokat használtak ezen a napon?
    • Milyen új felhasználói fiókok lettek létrehozva azóta?
    • Milyen programok lettek hozzáadva, hogy automatikusan elinduljanak az incidens bekövetkeztekor?
  • Van arra utaló jel, hogy a támadó jelenleg hozzáfér a rendszerekhez?
    • Vannak olyan feltört rendszerek, amelyek szokatlan tevékenységet tapasztalnak?
    • Vannak olyan feltört fiókok, amelyeket úgy tűnik, hogy a támadó aktívan használ?
    • Van bizonyíték az aktív parancs- és vezérlési (C2) kiszolgálókra az EDR-ben, a tűzfalban, a VPN-ben, a webproxyban és más naplókban?

A zsarolóprogram-folyamat azonosítása

Közzétett hitelesítő adatok keresése a fertőzött eszközökön

  • Azon felhasználói fiókok esetében, amelyek hitelesítő adatai potenciálisan sérültek, állítsa alaphelyzetbe a fiókjelszavakat, és kérje meg a felhasználókat, hogy jelentkezzenek be újra.
  • A következő IOA-k oldalirányú mozgást jelezhetnek:
Kattintással bontsa ki a
  • SuspiciousExploratoryCommands
  • MLFileBasedAlert
  • IfeoDebuggerPersistence
  • SuspiciousRemoteFileDropAndExecution
  • ExploratoryWindowsCommands
  • IoaStickyKeys
  • Mimikatz Defender-erősítő
  • A PARINACOTA által használt hálózatvizsgálati eszköz
  • DefenderServerAlertMSSQLServer
  • SuspiciousLowReputationFileDrop
  • SuspiciousServiceExecution
  • AdminUserAddition
  • MimikatzArtifactsDetector
  • Scuba-WdigestEnabledToAccessCredentials
  • DefenderMalware
  • MLSuspCmdBehavior
  • MLSuspiciousRemoteInvocation
  • SuspiciousRemoteComponentInvocation
  • SuspiciousWmiProcessCreation
  • MLCmdBasedWithRemoting
  • Folyamat hozzáférése lsass-hez
  • Gyanús Rundll32-folyamat végrehajtása
  • BitsAdmin
  • DefenderCobaltStrikeDetection
  • DefenderHacktool
  • IoaSuspPSCommandline
  • Metasploit
  • MLSuspToolBehavior
  • RegistryQueryForPasswords
  • SuspiciousWdavExclusion
  • ASEPRegKey
  • CobaltStrikeExecutionDetection
  • DefenderBackdoor
  • DefenderBehaviorSuspiciousActivity
  • DefenderMalwareExecuted
  • DefenderServerAlertDomainController
  • DupTokenPrivilegeEscalationDetector
  • FakeWindowsBinary
  • IoaMaliciousCmdlets
  • LivingOffTheLandBinary
  • MicrosoftSignedBinaryAbuse
  • MicrosoftSignedBinaryScriptletAbuse
  • MLFileBasedWithRemoting
  • MLSuspSvchostBehavior
  • ReadSensitiveMemory
  • RemoteCodeInjection-IREnabled
  • Scuba-EchoSeenOverPipeOnLocalhost
  • Scuba-SuspiciousWebScriptFileDrop
  • Gyanús DLL-regisztráció odbcconf használatával
  • Gyanús DPAPI-tevékenység
  • Gyanús Exchange-folyamat végrehajtása
  • Gyanús ütemezett tevékenységindítás
  • SuspiciousLdapQueryDetector
  • SuspiciousScheduledTaskRegistration
  • A nem megbízható alkalmazás RDP-kapcsolatot nyit meg

Azonosítsa azokat az üzletági (LOB) alkalmazásokat, amelyek az incidens miatt nem érhetők el

  • Az alkalmazásnak szüksége van identitásra?
    • Hogyan történik a hitelesítés?
    • Hogyan tárolják és kezelik a hitelesítő adatokat, például a tanúsítványokat vagy a titkos kulcsokat?
  • Kiértékeli az alkalmazás biztonsági másolatait, konfigurációját és adatait?
  • Állapítsa meg a biztonsági rés helyreállításának folyamatát.

Felszámolás és helyreállítás

Ezekkel a lépésekkel elháríthatja a fenyegetést, és helyreállíthatja a sérült erőforrásokat.

1. lépés: A biztonsági másolatok ellenőrzése

Ha offline biztonsági másolatokkal rendelkezik, valószínűleg visszaállíthatja a titkosított adatokat, miután eltávolította a zsarolóprogram hasznos adatait (kártevőket) a környezetből, és miután meggyőződett arról, hogy nincs jogosulatlan hozzáférés a Microsoft 365-bérlőben.

2. lépés: Jelzők hozzáadása

Adjon hozzá minden ismert támadó kommunikációs csatornát jelzőként, blokkolva a tűzfalakban, a proxykiszolgálókon és a végpontokon.

3. lépés: Sérült felhasználók alaphelyzetbe állítása

Állítsa alaphelyzetbe az ismert feltört felhasználói fiókok jelszavát, és új bejelentkezést igényel.

  • Fontolja meg bármely, széles körű rendszergazdai jogosultsággal rendelkező kiemelt fiók , például a Tartománygazdák csoport tagjai jelszavának alaphelyzetbe állítását.
  • Ha egy támadó felhasználói fiókot hozott létre, tiltsa le a fiókot. Csak akkor törölje a fiókot, ha nincs terv az incidens biztonsági kriminalisztikai vizsgálatára.

4. lépés: A támadók ellenőrzési pontjainak elkülönítése

A vállalaton belüli ismert támadó-ellenőrzési pontok elkülönítése az internetről.

5. lépés: Kártevők eltávolítása

Távolítsa el a kártevőt az érintett eszközökről.

  • Futtasson teljes, aktuális víruskeresést az összes gyanús számítógépen és eszközön a zsarolóprogramhoz társított hasznos adatok észleléséhez és eltávolításához.
  • Ne felejtse el megvizsgálni az adatokat szinkronizáló eszközöket vagy a leképezett hálózati meghajtók céljait.

6. lépés: Fájlok helyreállítása egy megtisztított eszközön

Fájlok helyreállítása egy megtisztított eszközön.

  • A Windows 7-ben a Fájlelőzmények Windows 11, Windows 10, Windows 8.1 és Rendszervédelem használatával megkísérelheti helyreállítani a helyi fájlokat és mappákat.

7. lépés: Fájlok helyreállítása OneDrive Vállalati verzió

Fájlok helyreállítása OneDrive Vállalati verzió.

  • A fájlok visszaállítása OneDrive Vállalati verzió lehetővé teszi egy teljes OneDrive visszaállítását egy korábbi időpontra az elmúlt 30 napban. További információt a OneDrive visszaállítása részben talál.

8. lépés: Törölt e-mailek helyreállítása

Törölt e-mailek helyreállítása.

9. lépés: A Exchange ActiveSync protokoll és a OneDrive szinkronizálási app újbóli engedélyezése

  • Miután megtisztította a számítógépeket és az eszközöket, és helyreállította az adatokat, újra engedélyezheti Exchange ActiveSync protokoll és OneDrive szinkronizálási app, amelyeket korábban letiltott a 3. lépésben.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.