Megosztás a következőn keresztül:


Microsoft Incident Response ransomware esettanulmány

Az ember által üzemeltetett ransomware továbbra is fenntartja pozícióját, mint az egyik leghatásosabb kibertámadási trend világszerte, és jelentős fenyegetés, amellyel sok szervezet szembesült az elmúlt években. Ezek a támadások kihasználják a hálózati helytelen konfigurációkat, és a szervezet gyenge belső biztonságára támaszkodnak. Bár ezek a támadások egyértelmű és súlyos veszélyt jelentenek a szervezetekre és informatikai infrastruktúrájukra és adataikra , megelőzhető katasztrófa.

A Microsoft incidenskezelési csapata (korábbi nevén DART/CRSP) biztonsági kompromisszumokkal segít az ügyfeleknek a kiberrezilienssé válásban. A Microsoft Incidenskezelés helyszíni reaktív incidensmegoldást és távoli proaktív vizsgálatot biztosít. A Microsoft incidenskezelése a Microsoft stratégiai partnerségeit használja ki a világ biztonsági szervezeteivel és belső Microsoft-termékcsoportokkal a lehető legteljesebb és legáttételesebb vizsgálat érdekében.

Ez a cikk azt ismerteti, hogy a Microsoft incidenskezelése hogyan vizsgált ki egy közelmúltbeli ransomware-incidenst a támadási taktikával és az észlelési mechanizmusokkal kapcsolatos részletekkel.

További információkért lásd a Microsoft incidenskezelési útmutatójának 1 . és 2 . részét az emberi üzemeltetésű zsarolóprogramok elleni küzdelemről.

A támadás

A Microsoft Incidenskezelés incidensmegoldási eszközöket és taktikákat használ az emberi üzemeltetésű zsarolóprogramok fenyegetéskezelési viselkedésének azonosításához. A ransomware-eseményekre vonatkozó nyilvános információk a végső hatásra összpontosítanak, de ritkán emelik ki a művelet részleteit, és azt, hogy a fenyegetések szereplői észrevétlenül eszkalálhatták hozzáférésüket, hogy felfedezzék, bevételt és zsarolják.

Íme néhány gyakori módszer, amelyet a támadók a MITRE ATT&CK-taktikán alapuló zsarolóprogram-támadásokhoz használnak.

Gyakori technikák, amelyeket a támadók a ransomware-támadásokhoz használnak.

A Microsoft incidenskezelése Végponthoz készült Microsoft Defender használatával nyomon követte a támadót a környezetben, létrehozott egy történetet, amely az incidenst ábrázolja, majd megsemmisíti a fenyegetést, és elhárítja azt. Az üzembe helyezést követően a Defender for Endpoint megkezdte a sikeres bejelentkezések észlelését egy találgatásos támadásból. Ennek felfedezése után a Microsoft incidenskezelése áttekintette a biztonsági adatokat, és több sebezhető, internetre néző eszközt talált a Távoli asztali protokoll (RDP) használatával.

A kezdeti hozzáférés megszerzése után a fenyegetést kezelő szereplő a Mimikatz hitelesítőadat-gyűjtési eszközzel memóriaképet készített a jelszókivonatokról, beolvasta az egyszerű szövegben tárolt hitelesítő adatokat, sticky key manipulációval létrehozott backdoorokat, és a távoli asztali munkamenetek használatával oldalirányban mozgatta a hálózatot.

Ebben az esettanulmányban itt találja a támadó által kijelölt útvonalat.

A zsarolóprogram-támadó által az esettanulmányhoz használt út.

A következő szakaszok a MITRE ATT&CK-taktikán alapuló további részleteket ismertetik, és példákat is tartalmaznak a fenyegetéselktori tevékenységek észlelésére a Microsoft Defender portálon.

Kezdeti hozzáférés

A ransomware-kampányok jól ismert biztonsági réseket használnak a kezdeti belépéshez, általában adathalász e-maileket vagy a szegélyvédelem gyengeségeit, például az interneten közzétett, engedélyezett távoli asztali szolgáltatással rendelkező eszközöket.

Ebben az incidensben a Microsoft incidenskezelésének sikerült megtalálnia azt az eszközt, amelyen az RDP 3389-hez készült TCP-portja van közzétéve az interneten. Ez lehetővé tette, hogy a fenyegetést indító szereplők találgatásos hitelesítési támadást hajtsanak végre, és megszerezték a kezdeti láblécet.

A Defender for Endpoint fenyegetésfelderítést használt annak megállapítására, hogy számos bejelentkezés történt ismert találgatásos forrásokból, és megjelenítette őket a Microsoft Defender portálon. Íme egy példa.

Példa ismert találgatásos bejelentkezésekre a Microsoft Defender portálon.

Felderítés

Miután a kezdeti hozzáférés sikeres volt, megkezdődött a környezet számbavétele és az eszközfelderítés. Ezek a tevékenységek lehetővé tették, hogy a fenyegetést figyelő szereplők azonosíthassák a szervezet belső hálózatával kapcsolatos információkat, és olyan kritikus rendszereket célozhassanak meg, mint a tartományvezérlők, a biztonsági mentési kiszolgálók, az adatbázisok és a felhőbeli erőforrások. Az enumerálás és az eszközfelderítés után a veszélyforrások szereplői hasonló tevékenységeket hajtottak végre a sebezhető felhasználói fiókok, csoportok, engedélyek és szoftverek azonosításához.

A fenyegetési szereplő az Advanced IP Scannert, egy IP-címolvasó eszközt használta a környezetben használt IP-címek számbavételére és az azt követő portvizsgálat elvégzésére. Nyitott portok keresésével a fenyegetéskezelő felderítette az eredetileg feltört eszközről elérhető eszközöket.

Ezt a tevékenységet a Végponthoz készült Defenderben észlelték, és a biztonsági rés (IoC) jelzéseként használták a további vizsgálathoz. Íme egy példa.

Példa portkeresésre a Microsoft Defender portálon.

Hitelesítő adatok ellopása

A kezdeti hozzáférés megszerzése után a fenyegetést figyelő szereplők hitelesítő adatok begyűjtését végezték a Mimikatz jelszólekérési eszközével, és megkeresték a "jelszót" tartalmazó fájlokat az eredetileg feltört rendszereken. Ezek a műveletek lehetővé ták, hogy a fenyegetést jelölő szereplők további, megbízható hitelesítő adatokkal rendelkező rendszerekhez férjenek hozzá. A fenyegetést javító szereplők sok esetben további fiókokat hoznak létre a kezdeti feltört fiókok azonosítása és szervizelése után a megőrzés fenntartása érdekében.

Íme egy példa a Mimikatz észlelt használatára a Microsoft Defender portálon.

Példa a Mimikatz észlelésére a Microsoft Defender portálon

Oldalirányú mozgás

A végpontok közötti mozgás különböző szervezetekben eltérő lehet, de a fenyegetéskezelők általában az eszközön már létező távfelügyeleti szoftverek különböző fajtáit használják. Az informatikai részleg által a mindennapi tevékenységeik során gyakran használt távelérési módszerek használatával a fenyegetést okozó szereplők hosszabb ideig repülhetnek a radar alatt.

A Microsoft Defender for Identity használatával a Microsoft Incident Response képes volt feltérképezni a fenyegetést okozó szereplő által az eszközök között megtett utat, megjelenítve a használt és elért fiókokat. Íme egy példa.

A fenyegetést okozó szereplő által az eszközök között a Microsoft Defender for Identityben megtett út.

Védelmi kijátszás

Az észlelés elkerülése érdekében a fenyegetések szereplői védelmi kijátszási technikákat alkalmaztak az azonosítás elkerülése érdekében, és céljukat a támadási ciklus során érték el. Ezek a technikák közé tartozik a vírusirtó termékek letiltása vagy illetéktelen módosítása, a biztonsági termékek vagy szolgáltatások eltávolítása vagy letiltása, a tűzfalszabályok módosítása, valamint a behatolás összetevőinek elrejtése a biztonsági termékek és szolgáltatások elől.

Az incidens veszélyforrás-szereplője a PowerShell használatával letiltotta a Microsoft Defender valós idejű védelmét Windows 11- és Windows 10-eszközökön, valamint helyi hálózati eszközökön a 3389-as TCP-port megnyitásához és RDP-kapcsolatok engedélyezéséhez. Ezek a módosítások csökkentették az észlelés esélyét egy környezetben, mivel módosították a kártékony tevékenységek észlelésére és riasztására szolgáló rendszerszolgáltatásokat.

A Defender for Endpoint azonban nem tiltható le a helyi eszközről, és képes volt észlelni ezt a tevékenységet. Íme egy példa.

Példa a PowerShell használatának észlelésére a Microsoft Defender valós idejű védelmének letiltásához.

Kitartás

Az adatmegőrzési technikák közé tartoznak a fenyegetést figyelő szereplők által végrehajtott műveletek, amelyek a biztonsági személyzet erőfeszítéseit követően egységes hozzáférést biztosítanak a rendszerekhez a feltört rendszerek ellenőrzésének visszaszerzése érdekében.

Az incidens fenyegetéskezelői azért használták a Sticky Keys hacket, mert lehetővé teszi a bináris fájlok távoli végrehajtását a Windows operációs rendszeren hitelesítés nélkül. Ezután ezzel a képességgel indítottak egy parancssort, és további támadásokat hajtottak végre.

Íme egy példa a Sticky Keys hack észlelésére a Microsoft Defender portálon.

Példa a Sticky Keys hack észlelésére a Microsoft Defender portálon.

Hatás

A veszélyforrás-szereplők általában a környezetben már létező alkalmazásokkal vagy funkciókkal titkosítják a fájlokat. A PsExec, a csoportházirend és a Microsoft Endpoint Configuration Management olyan üzembe helyezési módszerek, amelyek lehetővé teszik a szereplők számára, hogy a normál műveletek megzavarása nélkül gyorsan elérjék a végpontokat és a rendszereket.

Az incidens fenyegetési szereplője a PsExec segítségével távolról indított egy interaktív PowerShell-szkriptet különböző távoli megosztásokból. Ez a támadási módszer véletlenszerűvé teszi a terjesztési pontokat, és megnehezíti a szervizelést a ransomware-támadás utolsó fázisában.

Zsarolóprogramok végrehajtása

A zsarolóprogram-végrehajtás az egyik elsődleges módszer, amelyet a fenyegetést okozó szereplő a támadás bevételszerzésére használ. A végrehajtási módszertantól függetlenül a különböző ransomware-keretrendszerek általában általános viselkedési mintával rendelkeznek az üzembe helyezés után:

  • Fenyegetéselküldő műveletek elrejtése
  • Állandóság megállapítása
  • Windows-hibák helyreállításának és automatikus javításának letiltása
  • Szolgáltatások listájának leállítása
  • Folyamatok listájának leállása
  • Árnyékmásolatok és biztonsági másolatok törlése
  • Fájlok titkosítása, egyéni kizárások megadása
  • Zsarolóprogram-megjegyzés létrehozása

Íme egy példa egy ransomware megjegyzésre.

Példa egy ransomware megjegyzésre.

További ransomware-erőforrások

A Microsoft legfontosabb információi:

Microsoft 365:

Microsoft Defender XDR:

Felhőhöz készült Microsoft Defender alkalmazások:

Microsoft Azure:

A Microsoft Security csapatának blogbejegyzései: