Válasz a zsarolóvírus-támadásokra
Megjegyzés:
Szeretne Microsoft Defender XDR-t használni? További információ arról, hogy hogyan értékelheti ki és próbálhatja ki a Microsoft Defender XDR-t.
Ha azt gyanítja, hogy zsarolóprogram-támadás alatt áll, azonnal hozzon létre biztonságos kommunikációt az incidensmegoldási csapattal. A támadás megszakításához és a kár mérsékléséhez a következő válaszfázisokat hajthatják végre:
- Vizsgálat és elszigetelés
- Felszámolás és helyreállítás
Ez a cikk egy általános forgatókönyvet biztosít a zsarolóprogram-támadásokra való reagáláshoz. Fontolja meg az ebben a cikkben ismertetett lépések és feladatok saját biztonsági üzemeltetési forgatókönyvhez való igazítását. MEGJEGYZÉS: A zsarolóprogram-támadások megelőzésével kapcsolatos információkért lásd: Zsarolóprogram-megelőzések gyors üzembe helyezése.
Elszigetelés
Az elszigetelést és a vizsgálatot a lehető legnagyobb mértékben egyidejűleg kell lefolytatni; azonban a visszatartóztatás gyors megvalósítására kell összpontosítania, hogy több ideje legyen a vizsgálatra. Ezek a lépések segítenek meghatározni a támadás hatókörét, és elkülöníteni csak az érintett entitásokra, például a felhasználói fiókokra és eszközökre.
1. lépés: Az incidens hatókörének felmérése
A támadás mértékének felderítéséhez futtassa végig ezt a kérdéseket és feladatokat tartalmazó listát. Microsoft Defender XDR összesített képet biztosíthat az összes érintett vagy veszélyeztetett eszközről, hogy segítséget nyújtson az incidensmegoldás értékeléséhez. Lásd: Incidenskezelés Microsoft Defender XDR. Az incidensben szereplő riasztások és bizonyítékok listájával meghatározhatja a következőt:
- Mely felhasználói fiókok biztonsága sérülhet?
- Mely fiókokkal kézbesítették a hasznos adatokat?
- Mely előkészített és felderített eszközök érintettek, és hogyan?
- Eredeti eszközök
- Érintett eszközök
- Gyanús eszközök
- Azonosítsa az incidenshez társított hálózati kommunikációt.
- Mely alkalmazások érintettek?
- Milyen hasznos adatok terjedtek?
- Hogyan kommunikál a támadó a feltört eszközökkel? (A hálózatvédelmet engedélyezni kell):
- Lépjen a mutatók lapra , és adjon hozzá egy blokkot az IP-címhez és az URL-címhez (ha rendelkezik ezekkel az információkkal).
- Mi volt a hasznos adatkézbesítési adathordozó?
2. lépés: Meglévő rendszerek megőrzése
A meglévő rendszerek támadásokkal szembeni védelméhez futtassa az alábbi feladatokat és kérdéseket:
- Ha rendelkezik online biztonsági mentésekkel, fontolja meg a biztonsági mentési rendszer leválasztását a hálózatról, amíg biztos nem lesz a támadásban, lásd: Biztonsági mentési és visszaállítási terv a zsarolóprogramok elleni védelemhez | Microsoft Docs.
- Ha a zsarolóprogramok telepítésének várható és várható időszaka:
- Függessze fel a támadás részét képező kiemelt és helyi fiókokat . Ezt az incidens tulajdonságainak Felhasználók lapján teheti meg a Microsoft Defender portálon.
- Állítsa le az összes távoli bejelentkezési munkamenetet.
- Állítsa alaphelyzetbe a feltört felhasználói fiók jelszavát, és kérje meg a feltört felhasználói fiókok felhasználóit, hogy jelentkezzenek be újra.
- Tegye ugyanezt az esetlegesen feltört felhasználói fiókok esetében is.
- Ha a megosztott helyi fiókok biztonsága sérül, kérje meg a rendszergazdát, hogy kényszerítse ki a jelszómódosítást az összes közzétett eszközön. Példa Kusto-lekérdezésre:
DeviceLogonEvents | where DeviceName contains (AccountDomain) | take 10
- Azok az eszközök, amelyek még nincsenek elkülönítve, és nem részei a kritikus infrastruktúranak:
- Elkülönítheti a feltört eszközöket a hálózatról, de ne állítsa le őket.
- Ha azonosítja a származó vagy terjesztő eszközöket, először különítse el őket.
- A feltört rendszerek megőrzése elemzés céljából.
3. lépés: A spread megakadályozása
Ezzel a listával biztosíthatja, hogy a támadás továbbterjedjen a további entitásokra.
- Ha megosztott helyi fiókokat használ a támadás során, fontolja meg a helyi fiókok távoli használatának letiltását.
- Kusto-lekérdezés az összes helyi rendszergazdai hálózati bejelentkezéshez:
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
- Kusto-lekérdezés nem RDP-bejelentkezésekhez (a legtöbb hálózat esetében reálisabb):
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
- Karanténba helyezés és a fertőzött fájlok jelzőinek hozzáadása.
- Győződjön meg arról, hogy a víruskereső megoldás optimális védelmi állapotban konfigurálható. A Microsoft Defender víruskereső esetében ez a következőket foglalja magában:
- A valós idejű védelem engedélyezve van.
- Az illetéktelen módosítás elleni védelem engedélyezve van. A Microsoft Defender portálon válassza a Beállítások > Végpontok > Speciális funkciók > Illetéktelen hozzáférés elleni védelem lehetőséget.
- A támadásifelület-csökkentési szabályok engedélyezve vannak.
- A felhővédelem engedélyezve van.
- Tiltsa le Exchange ActiveSync protokoll és OneDrive szinkronizálási app.
- A postaláda Exchange ActiveSync protokoll letiltásáról A Exchange ActiveSync protokoll letiltása a Exchange Online felhasználói számára című témakörben olvashat.
- A postaládákhoz való más típusú hozzáférés letiltásához lásd:
- A OneDrive szinkronizálási app felfüggesztése segít megvédeni a felhőbeli adatokat a potenciálisan fertőzött eszközöktől. További információ: Szinkronizálás felfüggesztése és folytatása a OneDrive-ban.
- Alkalmazza a megfelelő javításokat és konfigurációs módosításokat az érintett rendszereken.
- Zsarolóprogram-kommunikáció letiltása belső és külső vezérlőkkel.
- Gyorsítótárazott tartalom végleges törlése
Vizsgálat
Ebben a szakaszban kivizsgálhatja a támadást, és megtervezheti a választ.
A jelenlegi helyzet felmérése
- Mi volt az első tudomásod a zsarolóprogram-támadásról?
- Ha az informatikai személyzet azonosította a kezdeti fenyegetést ( például a biztonsági másolatok törlésének észlelése, a víruskereső riasztások, a végpontészlelés és -válasz (EDR) riasztásai vagy a gyanús rendszerváltozások ), gyakran lehet gyors, határozott intézkedéseket hozni a támadás meghiúsítására, általában az ebben a cikkben ismertetett elszigetelési műveletek által.
- Mikor és mikor értesült először az incidensről?
- Milyen rendszer- és biztonsági frissítések nincsenek telepítve az adott napon az eszközökön? Ez fontos annak megértéséhez, hogy milyen biztonsági réseket lehetett kihasználni, hogy azok más eszközökön is kezelhetők legyenek.
- Milyen felhasználói fiókokat használtak ezen a napon?
- Milyen új felhasználói fiókok lettek létrehozva azóta?
- Milyen programok lettek hozzáadva, hogy automatikusan elinduljanak az incidens bekövetkeztekor?
- Van arra utaló jel, hogy a támadó jelenleg hozzáfér a rendszerekhez?
- Vannak olyan feltört rendszerek, amelyek szokatlan tevékenységet tapasztalnak?
- Vannak olyan feltört fiókok, amelyeket úgy tűnik, hogy a támadó aktívan használ?
- Van bizonyíték az aktív parancs- és vezérlési (C2) kiszolgálókra az EDR-ben, a tűzfalban, a VPN-ben, a webproxyban és más naplókban?
A zsarolóprogram-folyamat azonosítása
- Speciális veszélyforrás-kereséssel keresse meg az azonosított folyamatot a folyamatlétrehozás eseményeiben más eszközökön.
Közzétett hitelesítő adatok keresése a fertőzött eszközökön
- Azon felhasználói fiókok esetében, amelyek hitelesítő adatai potenciálisan sérültek, állítsa alaphelyzetbe a fiókjelszavakat, és kérje meg a felhasználókat, hogy jelentkezzenek be újra.
- A következő IOA-k oldalirányú mozgást jelezhetnek:
Kattintással bontsa ki a
- SuspiciousExploratoryCommands
- MLFileBasedAlert
- IfeoDebuggerPersistence
- SuspiciousRemoteFileDropAndExecution
- ExploratoryWindowsCommands
- IoaStickyKeys
- Mimikatz Defender-erősítő
- A PARINACOTA által használt hálózatvizsgálati eszköz
- DefenderServerAlertMSSQLServer
- SuspiciousLowReputationFileDrop
- SuspiciousServiceExecution
- AdminUserAddition
- MimikatzArtifactsDetector
- Scuba-WdigestEnabledToAccessCredentials
- DefenderMalware
- MLSuspCmdBehavior
- MLSuspiciousRemoteInvocation
- SuspiciousRemoteComponentInvocation
- SuspiciousWmiProcessCreation
- MLCmdBasedWithRemoting
- Folyamat hozzáférése lsass-hez
- Gyanús Rundll32-folyamat végrehajtása
- BitsAdmin
- DefenderCobaltStrikeDetection
- DefenderHacktool
- IoaSuspPSCommandline
- Metasploit
- MLSuspToolBehavior
- RegistryQueryForPasswords
- SuspiciousWdavExclusion
- ASEPRegKey
- CobaltStrikeExecutionDetection
- DefenderBackdoor
- DefenderBehaviorSuspiciousActivity
- DefenderMalwareExecuted
- DefenderServerAlertDomainController
- DupTokenPrivilegeEscalationDetector
- FakeWindowsBinary
- IoaMaliciousCmdlets
- LivingOffTheLandBinary
- MicrosoftSignedBinaryAbuse
- MicrosoftSignedBinaryScriptletAbuse
- MLFileBasedWithRemoting
- MLSuspSvchostBehavior
- ReadSensitiveMemory
- RemoteCodeInjection-IREnabled
- Scuba-EchoSeenOverPipeOnLocalhost
- Scuba-SuspiciousWebScriptFileDrop
- Gyanús DLL-regisztráció odbcconf használatával
- Gyanús DPAPI-tevékenység
- Gyanús Exchange-folyamat végrehajtása
- Gyanús ütemezett tevékenységindítás
- SuspiciousLdapQueryDetector
- SuspiciousScheduledTaskRegistration
- A nem megbízható alkalmazás RDP-kapcsolatot nyit meg
Azonosítsa azokat az üzletági (LOB) alkalmazásokat, amelyek az incidens miatt nem érhetők el
- Az alkalmazásnak szüksége van identitásra?
- Hogyan történik a hitelesítés?
- Hogyan tárolják és kezelik a hitelesítő adatokat, például a tanúsítványokat vagy a titkos kulcsokat?
- Kiértékeli az alkalmazás biztonsági másolatait, konfigurációját és adatait?
- Állapítsa meg a biztonsági rés helyreállításának folyamatát.
Felszámolás és helyreállítás
Ezekkel a lépésekkel elháríthatja a fenyegetést, és helyreállíthatja a sérült erőforrásokat.
1. lépés: A biztonsági másolatok ellenőrzése
Ha offline biztonsági másolatokkal rendelkezik, valószínűleg visszaállíthatja a titkosított adatokat, miután eltávolította a zsarolóprogram hasznos adatait (kártevőket) a környezetből, és miután meggyőződett arról, hogy nincs jogosulatlan hozzáférés a Microsoft 365-bérlőben.
2. lépés: Jelzők hozzáadása
Adjon hozzá minden ismert támadó kommunikációs csatornát jelzőként, blokkolva a tűzfalakban, a proxykiszolgálókon és a végpontokon.
3. lépés: Sérült felhasználók alaphelyzetbe állítása
Állítsa alaphelyzetbe az ismert feltört felhasználói fiókok jelszavát, és új bejelentkezést igényel.
- Fontolja meg bármely, széles körű rendszergazdai jogosultsággal rendelkező kiemelt fiók , például a Tartománygazdák csoport tagjai jelszavának alaphelyzetbe állítását.
- Ha egy támadó felhasználói fiókot hozott létre, tiltsa le a fiókot. Csak akkor törölje a fiókot, ha nincs terv az incidens biztonsági kriminalisztikai vizsgálatára.
4. lépés: A támadók ellenőrzési pontjainak elkülönítése
A vállalaton belüli ismert támadó-ellenőrzési pontok elkülönítése az internetről.
5. lépés: Kártevők eltávolítása
Távolítsa el a kártevőt az érintett eszközökről.
- Futtasson teljes, aktuális víruskeresést az összes gyanús számítógépen és eszközön a zsarolóprogramhoz társított hasznos adatok észleléséhez és eltávolításához.
- Ne felejtse el megvizsgálni az adatokat szinkronizáló eszközöket vagy a leképezett hálózati meghajtók céljait.
6. lépés: Fájlok helyreállítása egy megtisztított eszközön
Fájlok helyreállítása egy megtisztított eszközön.
- A Windows 7-ben a Fájlelőzmények Windows 11, Windows 10, Windows 8.1 és Rendszervédelem használatával megkísérelheti helyreállítani a helyi fájlokat és mappákat.
7. lépés: Fájlok helyreállítása OneDrive Vállalati verzió
Fájlok helyreállítása OneDrive Vállalati verzió.
- A fájlok visszaállítása OneDrive Vállalati verzió lehetővé teszi egy teljes OneDrive visszaállítását egy korábbi időpontra az elmúlt 30 napban. További információt a OneDrive visszaállítása részben talál.
8. lépés: Törölt e-mailek helyreállítása
Törölt e-mailek helyreállítása.
- Abban a ritka esetben, amikor a zsarolóprogram törölte a postaládában lévő összes e-mailt, helyreállíthatja a törölt elemeket. Lásd: Törölt üzenetek helyreállítása egy felhasználó postaládájában Exchange Online.
9. lépés: A Exchange ActiveSync protokoll és a OneDrive szinkronizálási app újbóli engedélyezése
- Miután megtisztította a számítógépeket és az eszközöket, és helyreállította az adatokat, újra engedélyezheti Exchange ActiveSync protokoll és OneDrive szinkronizálási app, amelyeket korábban letiltott a 3. lépésben.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.