Oppdage menneskestyrte ransomware-angrep med Microsoft Defender XDR
Obs!
Vil du oppleve Microsoft Defender for XDR? Mer informasjon om hvordan du kan evaluere og prøve ut Microsoft Defender XDR.
Løsepengevirus er en type utpressingsangrep som ødelegger eller krypterer filer og mapper, hindrer tilgang til kritiske data eller forstyrrer kritiske forretningssystemer. Det finnes to typer løsepengevirus:
- Løsepengevirus for varer er skadelig programvare som sprer seg med phishing eller mellom enheter og krypterer filer før det kreves løsepenger.
- Menneskestyrt ransomware er et planlagt og koordinert angrep av aktive nettkriminelle som bruker flere angrepsmetoder. I mange tilfeller brukes kjente teknikker og verktøy til å infiltrere organisasjonen, finne ressurser eller systemer som er verdt å presse, og deretter kreve løsepenger. Ved å gå på akkord med et nettverk utfører angriperen rekognosering av eiendeler og systemer som kan krypteres eller presses ut. Angriperne krypterer eller eksfiltrerer deretter data før de krever løsepenger.
Denne artikkelen beskriver proaktiv påvisning av nye eller pågående menneskedrevne ransomware-angrep med Microsoft Defender-portalen, en utvidet gjenkjennings- og responsløsning (XDR) for følgende sikkerhetstjenester:
- Microsoft Defender for endepunkt
- Microsoft Defender for Office 365
- Microsoft Defender for identitet
- Microsoft Defender for Cloud Apps (inkludert tilleggsprogrammet for appstyring)
- Microsoft Entra ID-beskyttelse
- Microsoft Defender for IoT
- Microsoft 365 Business Premium
- Microsoft Defender for Business
Hvis du vil ha informasjon om hvordan du forhindrer løsepengevirusangrep, kan du se Distribuere løsepengevirusforebygginger raskt – fase 3: Gjør det vanskelig å komme inn.
Viktigheten av proaktiv deteksjon
Fordi menneskelig drevet ransomware utføres vanligvis av aktive angripere som kanskje utfører trinnene for å infiltrere og oppdage dine mest verdifulle data og systemer i sanntid, tiden det tar å oppdage ransomware angrep er avgjørende.
Hvis aktiviteter før løsepenger oppdages raskt, reduseres sannsynligheten for et alvorlig angrep. Pre-løsepenger fasen inkluderer vanligvis følgende teknikker: innledende tilgang, rekognosering, legitimasjon tyveri, lateral bevegelse, og utholdenhet. Disse teknikkene kan i utgangspunktet virke ubeslektede og ofte fly under radaren. Hvis disse teknikkene fører til løsepengefasen, er det ofte for sent. Microsoft Defender XDR kan bidra til å identifisere de små og tilsynelatende urelaterte hendelsene som muligens en del av en større løsepengeviruskampanje.
- Når det oppdages under pre-løsepenger fasen, mindre skala begrensninger som isolere infiserte enheter eller brukerkontoer kan brukes til å forstyrre og utbedre angrepet.
- Hvis gjenkjenning kommer på et senere tidspunkt, for eksempel når den skadelige programvaren som brukes til å kryptere filer blir distribuert, kan det hende at mer aggressive utbedringstrinn som kan forårsake nedetid, må brukes til å forstyrre og utbedre angrepet.
Forstyrrelser i forretningsoperasjoner er sannsynligvis når du svarer på et løsepengevirusangrep. Sluttfasen i et ransomware-angrep er ofte et valg mellom nedetid forårsaket av angripere med stor risiko, eller en kontrollert nedetid for å sikre nettverkssikkerheten og gi deg tid til å undersøke hele tiden. Vi anbefaler aldri å betale løsepenger. Å betale nettkriminelle for å få en dekrypteringsnøkkel for løsepengevirus gir ingen garanti for at de krypterte dataene gjenopprettes. Se ransomware-svar – Microsofts sikkerhetsblogg.
Her er det kvalitative forholdet mellom virkningen av et ransomware-angrep og tiden din til å svare for ingen gjenkjenning kontra proaktiv gjenkjenning og respons.
Proaktiv gjenkjenning via vanlige verktøy og teknikker for skadelig programvare
I mange tilfeller bruker angripere av menneskestyrt løsepengevirus velkjente og felttestede taktikker for skadelig programvare, teknikker, verktøy og prosedyrer, inkludert phishing, e-postkompromisse for bedrifter (BEC) og legitimasjonstyveri. Sikkerhetsanalytikerne dine må bli oppmerksomme på og bli kjent med hvordan angripere bruker vanlige metoder for skadelig programvare og cyberangrep for å få fotfeste i organisasjonen.
Hvis du vil se eksempler på hvordan løsepengevirusangrep kommer i gang med vanlig skadelig programvare, kan du se disse ressursene:
- Menneskestyrte ransomware-angrep: En forhindret katastrofe
- Rapporter om trusselanalyse for løsepengevirus i Microsoft Defender-portalen
Å være kjent med skadelig programvare før løsepenger, nyttelaster og aktiviteter hjelper analytikere med å vite hva de skal se etter for å forhindre de senere stadiene av et angrep.
Menneskelig-operert ransomware angrep taktikk
Fordi menneskelig drevet ransomware kan bruke kjente angrepsteknikker og -verktøy, vil analytikernes forståelse og erfaring med eksisterende angrepsteknikker og verktøy være en verdifull ressurs når du forbereder SecOps-teamet for fokusert gjenkjenning av løsepengevirus.
Angrepstaktikk og -metoder
Her er noen typiske teknikker og verktøy som brukes av ransomware angripere for følgende MITRE ATT&CK taktikk:
Første tilgang:
- RDP-rå kraft
- Sårbart internettbasert system
- Svake programinnstillinger
- Phishing-e-post
Legitimasjonstyveri:
- Mimikatz
- LSA-hemmeligheter
- Legitimasjonshvelv
- Legitimasjon i ren tekst
- Misbruk av tjenestekontoer
Sideveis bevegelse:
- Koboltangrep
- WMI
- Misbruk av administrasjonsverktøy
- PsExec
Utholdenhet:
- Nye kontoer
- GPO-endringer
- Skygge-IT-verktøy
- Planlegg aktiviteter
- Tjenesteregistrering
Forsvarsunndragelse:
- Deaktiverer sikkerhetsfunksjoner
- Fjerner loggfiler
- Sletter angrepsartefaktfiler
- Tilbakestille tidsstempler på endrede filer
Eksfiltrering:
- Eksfiltrering av sensitive data impact (økonomisk innflytelse):
- Kryptering av data på plass og i sikkerhetskopier
- Sletting av data på plass og sikkerhetskopier, som kan kombineres med en tidligere eksfiltrasjon
- Trussel om offentlig lekkasje av eksfiltrerte, sensitive data
Hva du skal se etter
Utfordringen for sikkerhetsanalytikere er å gjenkjenne når et varsel er en del av en større angrepskjede med mål om å presse ut sensitive data eller viktige systemer. Et oppdaget phishing-angrep kan for eksempel være:
- Et engangsangrep for å overvåke e-postmeldingene til noen i finansavdelingen i en organisasjon.
- Den pre-løsepenger delen av en angrepskjede for å bruke kompromittert brukerkonto legitimasjon for å oppdage ressursene som er tilgjengelige for brukerkontoen og for å kompromittere andre brukerkontoer med høyere nivåer av rettighet og tilgang.
Denne delen inneholder vanlige angrepsfaser og metoder og signalkildene som strømmer inn i den sentrale Microsoft Defender-portalen, som oppretter varsler og hendelser som består av flere relaterte varsler for sikkerhetsanalyse. I noen tilfeller finnes det alternative sikkerhetsportaler for å vise angrepsdataene.
Innledende angrep for å få adgang
Angriper prøver å kompromittere en brukerkonto, enhet eller app.
Angrepsmetode | Signalkilde | Alternative sikkerhetsportaler |
---|---|---|
RDP-rå kraft | Defender for endepunkt | Defender for skyapper |
Sårbart internettbasert system | Windows-sikkerhetsfunksjoner, Microsoft Defender for servere | |
Svake programinnstillinger | Defender for Cloud Apps, Defender for Cloud Apps med appstyringstillegget | Defender for skyapper |
Skadelig appaktivitet | Defender for Cloud Apps, Defender for Cloud Apps med appstyringstillegget | Defender for skyapper |
Phishing-e-post | Defender for Office 365 | |
Passordsprøyting mot Microsoft Entra kontoer | Microsoft Entra ID-beskyttelse via Defender for Cloud Apps | Defender for skyapper |
Passordspray mot lokale kontoer | Microsoft Defender for identitet | |
Enhetskompromiss | Defender for endepunkt | |
Legitimasjonstyveri | Microsoft Defender for identitet | |
Videresending av rettighet | Microsoft Defender for identitet |
Nylig pigg i ellers typisk virkemåte
Angriperen forsøker å lete etter flere enheter for å inngå kompromisser.
Innsamlingslagerkategori | Signalkilde | Alternative sikkerhetsportaler |
---|---|---|
Pålogginger: Mange mislykkede forsøk, forsøk på å logge på flere enheter på kort tid, flere førstegangspålogginger osv. | Microsoft Entra ID-beskyttelse via Defender for Cloud Apps, Microsoft Defender for identitet | Defender for skyapper |
Nylig aktiv brukerkonto, gruppe, maskinkonto, app | Microsoft Entra ID-beskyttelse via Defender for Cloud Apps (Microsoft Entra ID), Defender for Identity (Active Directory Domain Services [AD DS]) | Defender for skyapper |
Nylig appaktivitet, for eksempel datatilgang | Apper med Defender for Cloud Apps med appstyringstillegget | Defender for skyapper |
Ny aktivitet
Angriperen oppretter nye enheter for å fremme rekkevidden, installere agenter for skadelig programvare eller unngå å bli oppdaget.
Aktivitet | Signalkilde | Alternativ sikkerhetsportal |
---|---|---|
Nye apper som er installert | Defender for Cloud Apps med appstyringstillegget | Defender for skyapper |
Nye brukerkontoer | Azure Identity Protection | Defender for skyapper |
Rolleendringer | Azure Identity Protection | Defender for skyapper |
Mistenkelig oppførsel
Angriperen laster ned sensitiv informasjon, krypterer filer eller på annen måte samler inn eller skader organisasjonens ressurser.
Virkemåte | Signalkilde |
---|---|
Skadelig programvare spres til flere enheter | Defender for endepunkt |
Skanning av ressurser | Defender for endepunkt, Defender for identitet |
Endringer i videresendingsregler for postboks | Defender for Office 365 |
Dataeksfiltrering og kryptering | Defender for Office 365 |
-*Overvåk for adversary deaktivering av sikkerhet** – da dette ofte er en del av den menneskedrevne ransomware -angrepskjeden (HumOR)
- Fjerning av hendelseslogger – spesielt sikkerhetshendelsesloggen og PowerShell-driftsloggene
- Deaktivering av sikkerhetsverktøy/kontroller (knyttet til noen grupper)
Oppdage løsepengevirusangrep med Microsoft Defender-portalen
Den Microsoft Defender portalen gir en sentralisert visning for informasjon om oppdagelser, påvirkede ressurser, automatiserte handlinger og relaterte bevis en kombinasjon av:
- En hendelseskø, som grupperer relaterte varsler for et angrep for å gi hele angrepsomfanget, påvirkede ressurser og automatiserte utbedringshandlinger.
- En varslingskø som viser alle varslene som spores av Microsoft Defender XDR.
Hendelses- og varslingskilder
Microsoft Defender portalen sentraliserer signaler fra:
- Microsoft Defender for endepunkt
- Microsoft Defender for Office 365
- Microsoft Defender for identitet
- Microsoft Defender for Cloud Apps (inkludert tilleggsprogrammet for appstyring)
- Microsoft Entra ID-beskyttelse
- Microsoft Defender for IoT
Denne tabellen viser noen vanlige angrep og tilhørende signalkilde for Microsoft Defender XDR.
Angrep og hendelser | Signalkilde |
---|---|
Skyidentitet: Passordspray, mange mislykkede forsøk, forsøk på å logge på flere enheter på kort tid, flere førstegangspålogginger, nylig aktive brukerkontoer | Microsoft Entra ID-beskyttelse |
Kompromiss for lokal identitet (AD DS) | Defender for identitet |
Phishing | Defender for Office 365 |
Skadelige apper | Defender for Cloud Apps eller Defender for Cloud Apps med appstyringstillegg |
Kompromiss for endepunkt (enhet) | Defender for endepunkt |
IoT-kompatibel enhetskompromiss | Defender for IoT |
Filtrere løsepengevirusidentifiserte hendelser
Du kan enkelt filtrere hendelseskøen for hendelser som er kategorisert etter Microsoft Defender XDR som løsepengevirus.
- Gå til hendelseskøen i navigasjonsruten i Microsoft Defender portalen ved å velge Hendelser og varsler om > hendelser.
- Velg Filtre.
- Velg Løsepengevirus under Kategorier, velg Bruk, og lukk deretter Filtre-ruten.
Hver filterinnstilling for hendelseskøen oppretter en nettadresse som du kan lagre og få tilgang til senere som en kobling. Disse URL-adressene kan bokmerkes eller lagres på annen måte og brukes ved behov med ett enkelt klikk. Du kan for eksempel opprette bokmerker for:
- Hendelser som inneholder kategorien "ransomware". Her er den tilsvarende koblingen.
- Hendelser med et angitt skuespillernavn som er kjent for å utføre løsepengevirusangrep.
- Hendelser med et angitt tilknyttet trusselnavn som er kjent for å brukes i løsepengevirusangrep.
- Hendelser som inneholder et egendefinert merke som SecOps-teamet ditt bruker for hendelser som er kjent for å være en del av et større, koordinert ransomware-angrep.
Filtrere rapporter for løsepengevirusidentifisert trusselanalyse
På samme måte som filtrering av hendelser i hendelseskøen, kan du filtrere rapporter om trusselanalyse for rapporter som inkluderer løsepengevirus.
- Velg Trusselanalyse fra navigasjonsruten.
- Velg Filtre.
- Velg Løsepengevirus under Trusselkoder, velg Bruk, og lukk deretter Filtre-ruten.
Du kan også klikke denne koblingen.
Du kan se en liste over varselnavn som er opprettet for trusselen, fra delen Oppdagelsesdetaljer i mange rapporter for trusselanalyse.
Microsoft Defender XDR API-er
Du kan også bruke de Microsoft Defender XDR API-ene til å spørre etter Microsoft Defender XDR hendelser og varsler data i leieren. En egendefinert app kan filtrere dataene, filtrere dem basert på egendefinerte innstillinger og deretter gi en filtrert liste over koblinger til varsler og hendelser som du enkelt kan velge for å gå rett til varselet eller hendelsen. Se API for listehendelser i Microsoft Defender XDR| Microsoft Docs. Du kan også integrere SIEM med Microsoft Defender, se Integrere SIEM-verktøyene med Microsoft Defender XDR.
Integrasjon av Microsoft Defender XDR Sentinel
Microsoft Sentinels Microsoft Defender XDR hendelsesintegrasjon lar deg strømme alle Microsoft Defender XDR hendelser til Microsoft Sentinel og holde dem synkronisert mellom begge portalene. Hendelser omfatter alle tilknyttede varsler, enheter og relevant informasjon. Når du er i Sentinel, forblir hendelser toveis synkronisert med Microsoft Defender XDR, slik at du kan dra nytte av fordelene med begge portalene i hendelsesetterforskningen. Se Microsoft Defender XDR integrering med Microsoft Sentinel.
Proaktiv skanning med avansert jakt
Avansert jakt er et spørringsbasert verktøy for trusseljakt som lar deg utforske og undersøke hendelser i nettverket for å finne trusselindikatorer og enheter. Dette fleksible og tilpassbare analyseverktøyet muliggjør ubegrenset jakt etter både kjente og potensielle trusler. Microsoft Defender XDR støtter også bruk av en egendefinert spørring for å opprette egendefinerte gjenkjenningsregler, som oppretter varsler basert på en spørring, og som er planlagt å kjøre automatisk.
For proaktiv skanning av løsepengevirusaktiviteter bør du sette sammen en katalog med avanserte jaktspørringer for vanlige metoder for ransomware-angrep for identiteter, endepunkter, apper og data. Her er noen viktige kilder for avanserte jaktspørringer som er klare til bruk:
- Artikkelen Jakten på løsepengevirus
- GitHub-repositorium for avanserte jaktspørringer:
- Rapporter for trusselanalyse
- Avansert jakt delen av Ransomware: En gjennomgripende og pågående trussel analytiker rapport
- Avansert jakt-delen av andre analytikerrapporter
Automatisert jakt
Avanserte jaktspørringer kan også brukes til å opprette egendefinerte gjenkjenningsregler og handlinger basert på kjente elementer i en ransomware-angrepsmetode (for eksempel bruk av uvanlige PowerShell-kommandoer). Egendefinerte gjenkjenningsregler oppretter varsler som kan sees og adresseres av sikkerhetsanalytikerne dine.
Hvis du vil opprette en egendefinert gjenkjenningsregel, velger du Opprett egendefinerte gjenkjenningsregelen fra siden i en avansert jaktspørring. Når du har opprettet den, kan du angi:
- Hvor ofte du kjører den egendefinerte gjenkjenningsregelen
- Alvorsgraden for varselet som opprettes av regelen
- MITRE-angrepsfasen for det opprettede varselet
- Berørte enheter
- Handlinger som skal utføres på berørte enheter
Klargjør SecOps-teamet for fokusert gjenkjenning av løsepengevirus
Forberedelse av SecOps-teamet for proaktiv gjenkjenning av løsepengevirus krever:
- Forhåndsarbeid for SecOps-teamet og organisasjonen
- Opplæring for sikkerhetsanalytikere etter behov
- Kontinuerlig operativt arbeid for å innlemme de nyeste angrepene og oppdagelsesopplevelsene til sikkerhetsanalytikerne dine
Forhåndsarbeid for SecOps-teamet og organisasjonen
Vurder disse trinnene for å gjøre SecOps-teamet og organisasjonen klar for forebygging av fokusert løsepengevirusangrep:
- Konfigurer IT- og skyinfrastrukturen for forebygging av løsepengevirus med hindringer for løsepengevirus raskt – fase 3: Gjør det vanskelig å få veiledning . Fasene og oppgavene i denne veiledningen kan gjøres parallelt med følgende trinn.
- Få de riktige lisensene for Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, appstyringstillegget, Defender for IoT og Microsoft Entra ID-beskyttelse tjenester.
- Sett sammen en katalog med avanserte jaktspørringer som er innstilt på kjente ransomware-angrepsmetoder eller angrepsfaser.
- Opprett settet med egendefinerte gjenkjenningsregler for spesifikke avanserte jaktspørringer som oppretter varsler for kjente ransomware-angrepsmetoder, inkludert tidsplan, navngivning av varsler og automatiserte handlinger.
- Bestem settet med egendefinerte koder eller standarder for å opprette en ny for å identifisere hendelser som er kjent for å være en del av et større, koordinert ransomware-angrep
- Bestem settet med driftsoppgaver for løsepengevirushendelse og varslingsbehandling. Eksempel:
- Prosesser for nivå 1-analytikerskanning av innkommende hendelser og varsler og tilordning til analytikere på nivå 2 for undersøkelse.
- Kjøre avanserte jaktspørringer manuelt og tidsplanen (daglig, ukentlig, månedlig).
- Pågående endringer basert på etterforskningen av løsepengevirusangrep og begrensningsopplevelser.
Opplæring for sikkerhetsanalytikere
Etter behov kan du gi sikkerhetsanalytikerne intern opplæring for:
- Vanlige ransomware-angrepskjeder (MITRE-angrepstaktikk og vanlige trusselteknikker og skadelig programvare)
- Hendelser og varsler og hvordan du finner og analyserer dem i Microsoft Defender-portalen ved hjelp av:
- Varsler og hendelser som allerede er opprettet av Microsoft Defender XDR
- Forhåndsskannede nettadressebaserte filtre for Microsoft Defender-portalen
- Programmatisk via hendelses-API
- Avanserte jaktspørringer som skal brukes og deres manuelle tidsplan (daglig, ukentlig, månedlig)
- Egendefinerte gjenkjenningsregler som skal brukes og innstillingene deres
- Egendefinerte hendelseskoder
- De nyeste rapportene om trusselanalyse for løsepengevirusangrep i Microsoft Defender-portalen
Pågående arbeid basert på driftslæring og nye trusler
Som en del av SecOps-teamets pågående verktøy og behandle anbefalte fremgangsmåter og sikkerhetsanalytikeres erfaringer, bør du:
- Oppdater katalogen med avanserte jaktspørringer med:
- Nye spørringer basert på de nyeste rapportene for trusselanalyse i Microsoft Defender-portalen eller GitHub-repositoriet for avansert jakt.
- Endringer i eksisterende for å optimalisere for trusselidentifikasjon eller for bedre varslingskvalitet.
- Oppdater egendefinerte gjenkjenningsregler basert på nye eller endrede avanserte jaktspørringer.
- Oppdater settet med driftsoppgaver for gjenkjenning av løsepengevirus.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.