Microsoft Incident Response ransomware esettanulmány

Az ember által üzemeltetett ransomware továbbra is fenntartja pozícióját, mint az egyik leghatásosabb kibertámadási trend világszerte, és jelentős fenyegetés, amellyel sok szervezet szembesült az elmúlt években. Ezek a támadások kihasználják a hálózati helytelen konfigurációkat, és a szervezet gyenge belső biztonságára támaszkodnak. Bár ezek a támadások egyértelmű és súlyos veszélyt jelentenek a szervezetekre, valamint az informatikai infrastruktúrájukra és adataikra, megelőzhető katasztrófa.

A Microsoft incidenskezelési csapata (korábbi nevén DART/CRSP) válaszol a biztonsági résekre, hogy segítsen az ügyfeleknek a kiberbiztonságossá válásában. A Microsoft Incidenskezelés helyszíni reaktív incidensmegoldást és távoli proaktív vizsgálatot biztosít. A Microsoft incidenskezelése a Microsoft stratégiai partnerségeit használja ki a világ biztonsági szervezeteivel és belső Microsoft-termékcsoportokkal a lehető legteljesebb és legáttételesebb vizsgálat érdekében.

Ez a cikk azt ismerteti, hogy a Microsoft incidenskezelése hogyan vizsgált ki egy közelmúltbeli ransomware-incidenst a támadási taktikával és az észlelési mechanizmusokkal kapcsolatos részletekkel.

További információért lásd 1. rész és 2. rész a Microsoft Incidensválasz útmutatóját az ember által működtetett zsarolóprogramok elleni küzdelemhez.

A támadás

A Microsoft Incidenskezelés incidensmegoldási eszközöket és taktikákat használ az emberi üzemeltetésű zsarolóprogramok fenyegetéskezelési viselkedésének azonosításához. A ransomware-eseményekre vonatkozó nyilvános információk a végső hatásra összpontosítanak, de ritkán emelik ki a művelet részleteit, és azt, hogy a fenyegetések szereplői észrevétlenül eszkalálhatták hozzáférésüket, hogy felfedezzék, bevételt és zsarolják.

Íme néhány gyakori technika, amelyet a támadók a MITRE ATT&CK-taktikákonalapuló zsarolóprogram-támadásokhoz használnak.

A Microsoft Incident Response a Microsoft Defender for Endpoint használatával követte nyomon a támadót a környezetben, létrehozott egy történetet, amely az incidenst ábrázolja, majd megsemmisíti a fenyegetést, és elhárítja azt. Az üzembe helyezést követően a Defender for Endpoint megkezdte a sikeres bejelentkezések észlelését egy brute force támadás során. Ennek felfedezése után a Microsoft incidenskezelése áttekintette a biztonsági adatokat, és több sebezhető, internetre néző eszközt talált a Távoli asztali protokoll (RDP) használatával.

A kezdeti hozzáférés megszerzése után a támadó a Mimikatz hitelesítőadat-gyűjtési eszközzel kivonta a jelszókivonatokat, keresett egyszerű szövegben tárolt hitelesítő adatokat, sticky key manipulációval hátsóajtókat hozott létre, és távoli asztali munkamenetek használatával oldalirányban mozgott a hálózaton.

Ebben az esettanulmányban itt találja a támadó által kijelölt útvonalat.

A következő szakaszok a MITRE ATT&CK-taktikán alapuló további részleteket ismertetik, és példákat is tartalmaznak a fenyegetéselktori tevékenységek észlelésére a Microsoft Defender portálon.

Kezdeti hozzáférés

A ransomware-kampányok jól ismert biztonsági réseket használnak a kezdeti belépéshez, általában adathalász e-maileket vagy a szegélyvédelem gyengeségeit, például az interneten közzétett, engedélyezett távoli asztali szolgáltatással rendelkező eszközöket.

Ebben az incidensben a Microsoft Incidenskezelési csoportja sikerült felderítenie egy eszközt, amelynek az RDP 3389-es TCP-portja ki volt téve az internetre. Ez lehetővé tette, hogy a támadók brute-force támadást hajtsanak végre, és megszerezzék a kezdeti hozzáférést.

A Defender for Endpoint fenyegetésintelligenciát használt annak megállapítására, hogy számos bejelentkezés történt ismert brute force forrásokból, és megjelenítette őket a Microsoft Defender portálon. Íme egy példa.

Felderítés

Miután a kezdeti hozzáférés sikeres volt, megkezdődött a környezet számbavétele és az eszközfelderítés. Ezek a tevékenységek lehetővé tették, hogy a fenyegetést figyelő szereplők azonosíthassák a szervezet belső hálózatával kapcsolatos információkat, és olyan kritikus rendszereket célozhassanak meg, mint a tartományvezérlők, a biztonsági mentési kiszolgálók, az adatbázisok és a felhőbeli erőforrások. Az enumerálás és az eszközfelderítés után a veszélyforrások szereplői hasonló tevékenységeket hajtottak végre a sebezhető felhasználói fiókok, csoportok, engedélyek és szoftverek azonosításához.

A fenyegetési szereplő az Advanced IP Scannert, egy IP-címolvasó eszközt használta a környezetben használt IP-címek számbavételére és az azt követő portvizsgálat elvégzésére. Nyitott portok keresésével a fenyegetéskezelő felderítette az eredetileg feltört eszközről elérhető eszközöket.

Ezt a tevékenységet a Végponthoz készült Defenderben észlelték, és a biztonsági rés (IoC) jelzéseként használták a további vizsgálathoz. Íme egy példa.

Hitelesítő adatok ellopása

A kezdeti hozzáférés megszerzése után a fenyegetést figyelő szereplők hitelesítő adatok begyűjtését végezték a Mimikatz jelszólekérési eszközével, és megkeresték a "jelszót" tartalmazó fájlokat az eredetileg feltört rendszereken. Ezek a műveletek lehetővé ták, hogy a fenyegetést jelölő szereplők további, megbízható hitelesítő adatokkal rendelkező rendszerekhez férjenek hozzá. A fenyegetést jelentő szereplők sok esetben további fiókokat hoznak létre a kezdeti feltört fiókok azonosítása és helyreállítása után a jelenlét fenntartása érdekében.

Íme egy példa a Mimikatz észlelt használatára a Microsoft Defender portálon.

Oldalirányú mozgás

A végpontok közötti mozgás különböző szervezetekben eltérő lehet, de a fenyegetéskezelők általában az eszközön már létező távfelügyeleti szoftverek különböző fajtáit használják. Az informatikai részleg által a mindennapi tevékenységeik során gyakran használt távelérési módszerek használatával a fenyegetést okozó szereplők hosszabb ideig repülhetnek a radar alatt.

A Microsoft Defender for Identity használatával a Microsoft Incident Response képes volt feltérképezni a fenyegetést okozó szereplő által az eszközök között megtett utat, megjelenítve a használt és elért fiókokat. Íme egy példa.

Védelmi kijátszás

Az észlelés elkerülése érdekében a fenyegetések szereplői védelmi kijátszási technikákat alkalmaztak az azonosítás elkerülése érdekében, és céljukat a támadási ciklus során érték el. Ezek a technikák közé tartozik a vírusirtó termékek letiltása vagy illetéktelen módosítása, a biztonsági termékek vagy szolgáltatások eltávolítása vagy letiltása, a tűzfalszabályok módosítása, valamint a behatolás összetevőinek elrejtése a biztonsági termékek és szolgáltatások elől.

Az incidens veszélyforrás-szereplője a PowerShell használatával letiltotta a Microsoft Defender valós idejű védelmét Windows 11- és Windows 10-eszközökön, valamint helyi hálózati eszközökön a 3389-as TCP-port megnyitásához és RDP-kapcsolatok engedélyezéséhez. Ezek a módosítások csökkentették az észlelés esélyét egy környezetben, mivel módosították a kártékony tevékenységek észlelésére és riasztására szolgáló rendszerszolgáltatásokat.

A Defender for Endpoint azonban nem tiltható le a helyi eszközről, és képes volt észlelni ezt a tevékenységet. Íme egy példa.

Kitartás

Az adatmegőrzési technikák közé tartoznak a fenyegetést figyelő szereplők által végrehajtott műveletek, amelyek a biztonsági személyzet erőfeszítéseit követően egységes hozzáférést biztosítanak a rendszerekhez a feltört rendszerek ellenőrzésének visszaszerzése érdekében.

Az incidens fenyegetéskezelői azért használták a Sticky Keys hacket, mert lehetővé teszi a bináris fájlok távoli végrehajtását a Windows operációs rendszeren hitelesítés nélkül. Ezután ezzel a képességgel indítottak egy parancssort, és további támadásokat hajtottak végre.

Íme egy példa a Sticky Keys hack észlelésére a Microsoft Defender portálon.

Hatás

A veszélyforrás-szereplők általában a környezetben már létező alkalmazásokkal vagy funkciókkal titkosítják a fájlokat. A PsExec, a csoportházirend és a Microsoft Endpoint Configuration Management olyan üzembe helyezési módszerek, amelyek lehetővé teszik a szereplők számára, hogy a normál műveletek megzavarása nélkül gyorsan elérjék a végpontokat és a rendszereket.

Az incidens fenyegetési szereplője a PsExec segítségével távolról indított egy interaktív PowerShell-szkriptet különböző távoli megosztásokból. Ez a támadási módszer véletlenszerűvé teszi a terjesztési pontokat, és megnehezíti a szervizelést a ransomware-támadás utolsó fázisában.

Zsarolóprogramok végrehajtása

A zsarolóprogram-végrehajtás az egyik elsődleges módszer, amelyet a fenyegetést okozó szereplő a támadás bevételszerzésére használ. A végrehajtási módszertantól függetlenül a különböző ransomware-keretrendszerek általában általános viselkedési mintával rendelkeznek az üzembe helyezés után:

• Fenyegető szereplők tevékenységének elrejtése
• Tartósság létrehozása
• Windows-hibák helyreállításának és automatikus javításának letiltása
• Szolgáltatások listájának leállítása
• Folyamatok listájának leállítása
• Árnyékmásolatok és biztonsági másolatok törlése
• Fájlok titkosítása, egyéni kizárások megadása
• Zsarolóprogram-megjegyzés létrehozása

Íme egy példa egy ransomware megjegyzésre.

További ransomware-erőforrások

A Microsoft legfontosabb információi:

• A zsarolóprogramok egyre növekvő fenyegetése, Microsoft On the Issues blogbejegyzés 2021. július 20-án
• ember által üzemeltetett ransomware
• Gyors védelem a zsarolóprogramok és a zsarolás ellen
• 2021-ben a Microsoft Digital Defense jelentés (lásd a 10–19. oldalt)
• Ransomware: Átható és folyamatos fenyegetés fenyegetéselemzési jelentés a Microsoft Defender portálon
• Microsoft Incident Response ransomware megközelítés és ajánlott eljárások

Microsoft 365:

• Zsarolóprogram-védelem telepítése a Microsoft 365 bérlő számára
• Növelje az Azure és a Microsoft 365 segítségével a ransomware elleni ellenálló képességet
• Helyreállítás zsarolóprogram-támadásból
• kártevő- és zsarolóprogram-védelmi
• Windows 10 rendszerű számítógép védelme zsarolóprogramoktól
• Zsarolóprogramok kezelése a SharePoint Online
• Zsarolóprogram- fenyegetéselemzési jelentései a Microsoft Defender portálon

Microsoft Defender XDR:

• Zsarolóvírusok keresése fejlett vadászati módszerekkel

Microsoft Defender for Cloud Apps:

• Anomáliadetektálási szabályzatok létrehozása a Defender for Cloud Appsben

Microsoft Azure:

• Azure védelme a zsarolóvírus támadások ellen
• A ransomware-ellenállóképesség maximalizálása az Azure-ral és a Microsoft 365-tel
• Biztonsági mentési és visszaállítási terv a ransomware- elleni védelem érdekében
• Segítség a zsarolóprogramok elleni védelemhez a Microsoft Azure Backup (26 perces videó)
• Rendszerszintű identitás sérüléséből való helyreállítás
• Speciális többlépcsős támadásészlelés a Microsoft Sentinel
• Ransomware fúziós észlelése a Microsoft Sentinel

A Microsoft Security csapatának blogbejegyzései:

• 3 lépés a zsarolóprogramok megelőzésére és helyreállítására (2021. szeptember)

• Útmutató az ember által működtetett zsarolóprogramok elleni küzdelemhez: 1. rész (2021. szeptember)

  A microsoftos incidenskezelés zsarolóprogram-incidensek vizsgálatának főbb lépései.

• Útmutató az ember által működtetett zsarolóprogramok elleni küzdelemhez: 2. rész (2021. szeptember)

  Javaslatok és ajánlott eljárások.

• Ellenállóvá válás a kiberbiztonsági kockázatok megértése révén: 4. rész – a jelenlegi fenyegetések (2021. május)

  Lásd a Ransomware szakaszt.

• ember által működtetett ransomware-támadások: Megelőzhető katasztrófa (2020. március)

  Tartalmazza a tényleges támadások támadáslánc-elemzését.

• Ransomware-válasz – fizetni vagy nem fizetni? (2019. december)

• Norsk Hydro átláthatósággal (2019. december) reagál a ransomware-támadásokra