Svara på utpressningstrojanattacker

Obs!

Vill du uppleva Microsoft Defender XDR? Läs mer om hur du kan utvärdera och pilottesta Microsoft Defender XDR.

När du misstänker att du var eller för närvarande är under en utpressningstrojanattack upprättar du omedelbart säker kommunikation med ditt incidenthanteringsteam. De kan utföra följande svarsfaser för att störa attacken och minimera skadorna:

• Undersökning och inneslutning
• Utrotning och återställning

Den här artikeln innehåller en generaliserad spelbok för att svara på utpressningstrojanattacker. Överväg att anpassa de beskrivna stegen och uppgifterna i den här artikeln till din egen spelbok för säkerhetsåtgärder. Obs! Information om hur du förhindrar attacker mot utpressningstrojaner finns i Distribuera snabbt förebyggande av utpressningstrojaner.

Inneslutning

Inneslutning och undersökning bör ske så samtidigt som möjligt. Du bör dock fokusera på att snabbt uppnå inneslutning, så att du har mer tid att undersöka. De här stegen hjälper dig att fastställa omfattningen av attacken och att isolera den till endast berörda entiteter, till exempel användarkonton och enheter.

Steg 1: Utvärdera incidentens omfattning

Gå igenom den här listan med frågor och uppgifter för att identifiera omfattningen av attacken. Microsoft Defender XDR kan ge en samlad vy över alla tillgångar som påverkas eller är i riskzonen för att underlätta din incidenthanteringsbedömning. Se Incidenthantering med Microsoft Defender XDR. Du kan använda aviseringarna och bevislistan i incidenten för att fastställa:

• Vilka användarkonton kan ha komprometterats?
  • Vilka konton användes för att leverera nyttolasten?
• Vilka registrerade och identifierade enheter påverkas och hur?
  • Ursprungliga enheter
  • Berörda enheter
  • Misstänkta enheter
• Identifiera all nätverkskommunikation som är associerad med incidenten.
• Vilka program påverkas?
• Vilka nyttolaster spreds?
• Hur kommunicerar angriparen med de komprometterade enheterna? (Nätverksskydd måste vara aktiverat):
  • Gå till sidan indikatorer om du vill lägga till ett block för IP-adressen och URL:en (om du har den informationen).
• Vad var nyttolastens leveransmedium?

Steg 2: Bevara befintliga system

Gå igenom den här listan med uppgifter och frågor för att skydda befintliga system mot angrepp:

• Om du har onlinesäkerhetskopior kan du överväga att koppla från säkerhetskopieringssystemet från nätverket tills du är säker på att attacken finns i Säkerhetskopierings- och återställningsplanen för att skydda mot utpressningstrojaner | Microsoft Docs.
• Om du upplever eller förväntar dig en överhängande och aktiv distribution av utpressningstrojaner:
  • Inaktivera privilegierade och lokala konton som du misstänker är en del av attacken. Du kan göra detta från fliken Användare i egenskaperna för incidenten i Microsoft Defender-portalen.
  • Stoppa alla fjärrinloggningssessioner.
  • Återställ lösenorden för det komprometterade användarkontot och kräva att användare av komprometterade användarkonton loggar in igen.
  • Gör samma sak för användarkonton som kan ha komprometterats.
  • Om delade lokala konton komprometteras kan IT-administratören hjälpa dig att framtvinga en lösenordsändring på alla exponerade enheter. Exempel på Kusto-fråga:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• För enheter som ännu inte är isolerade och inte ingår i den kritiska infrastrukturen:
  • Isolera komprometterade enheter från nätverket men stäng dem inte.
  • Om du identifierar de ursprungliga enheterna eller spridarenheterna isolerar du dem först.
• Bevara komprometterade system för analys.

Steg 3: Förhindra spridningen

Använd den här listan om du vill förhindra att attacken sprids till ytterligare entiteter.

• Om delade lokala konton används i attacken bör du överväga att blockera fjärranvändning av lokala konton.
  • Kusto-fråga för alla nätverksinloggningar som är lokala administratörer:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Kusto-fråga för icke-RDP-inloggningar (mer realistisk för de flesta nätverk):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Placera och lägg till indikatorer för filer som är infekterade.
• Se till att antiviruslösningen kan konfigureras i optimalt skyddstillstånd. För Microsoft Defender Antivirus omfattar detta:
  • Realtidsskydd är aktiverat.
  • Manipulationsskydd är aktiverat. I Microsoft Defender-portalen väljer du Inställningar > Slutpunkter > Avancerade funktioner > Manipulationsskydd.
  • Regler för minskning av attackytan är aktiverade.
  • Molnskydd är aktiverat.
• Inaktivera Exchange ActiveSync och OneDrive-synkronisering.
  • Information om hur du inaktiverar Exchange ActiveSync för en postlåda finns i Inaktivera Exchange ActiveSync för användare i Exchange Online.
  • Information om hur du inaktiverar andra typer av åtkomst till en postlåda finns i:
    • Aktivera eller inaktivera MAPI för en postlåda.
    • Aktivera eller inaktivera POP3- eller IMAP4-åtkomst för en användare.
  • Pausa OneDrive-synkronisering hjälper till att skydda dina molndata från att uppdateras av potentiellt infekterade enheter. Mer information finns i Så här pausar och återupptar du synkroniseringen i OneDrive.
• Tillämpa relevanta korrigeringar och konfigurationsändringar på berörda system.
• Blockera utpressningstrojankommunikation med hjälp av interna och externa kontroller.
• Rensa cachelagrat innehåll

Undersökning

Använd det här avsnittet för att undersöka attacken och planera ditt svar.

Utvärdera din aktuella situation

• Vad gjorde dig först medveten om utpressningstrojanattacken?
  • Om IT-personalen har identifierat det första hotet, till exempel att säkerhetskopior tas bort, antivirusaviseringar, aviseringar om slutpunktsidentifiering och svar (EDR) eller misstänkta systemändringar, är det ofta möjligt att vidta snabba beslutsamma åtgärder för att förhindra attacken, vanligtvis av de inneslutningsåtgärder som beskrivs i den här artikeln.
• Vilket datum och tid fick du först reda på incidenten?
  • Vilka system- och säkerhetsuppdateringar installerades inte på enheter det datumet? Det här är viktigt för att förstå vilka sårbarheter som kan ha utnyttjats så att de kan åtgärdas på andra enheter.
  • Vilka användarkonton användes det datumet?
  • Vilka nya användarkonton har skapats sedan det datumet?
  • Vilka program har lagts till för att starta automatiskt när incidenten inträffade?
• Finns det något som tyder på att angriparen för närvarande har åtkomst till system?
  • Finns det några misstänkta komprometterade system som upplever ovanlig aktivitet?
  • Finns det några misstänkta komprometterade konton som verkar användas aktivt av angriparen?
  • Finns det några bevis för aktiva C2-servrar (kommando och kontroll) i EDR, brandvägg, VPN, webbproxy och andra loggar?

Identifiera utpressningstrojanprocessen

• Med avancerad jakt söker du efter den identifierade processen i processskapandehändelserna på andra enheter.

Leta efter exponerade autentiseringsuppgifter på de infekterade enheterna

• För användarkonton vars autentiseringsuppgifter potentiellt har komprometterats återställer du kontolösenorden och kräver att användarna loggar in igen.
• Följande IOA:ar kan tyda på lateral förflyttning:

Klicka här om du vill expandera

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Mimikatz Defender-förstärkare
• Nätverksgenomsökningsverktyg som används av PARINACOTA
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• Processåtkomster Lsass
• Misstänkt Körning av Rundll32-process
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• Misstänkt DLL-registrering av odbcconf
• Misstänkt DPAPI-aktivitet
• Misstänkt körning av Exchange-process
• Misstänkt schemalagd aktivitetsstart
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• Ett program som inte är betrott öppnar en RDP-anslutning

Identifiera verksamhetsspecifika appar (LOB) som inte är tillgängliga på grund av incidenten

• Kräver appen en identitet?
  • Hur utförs autentisering?
  • Hur lagras och hanteras autentiseringsuppgifter som certifikat eller hemligheter?
• Är utvärderade säkerhetskopior av programmet, dess konfiguration och dess data tillgängliga?
• Fastställ din återställningsprocess för kompromisser.

Utrotning och återställning

Använd de här stegen för att utrota hotet och återställa skadade resurser.

Steg 1: Verifiera dina säkerhetskopior

Om du har offlinesäkerhetskopior kan du förmodligen återställa data som har krypterats när du har tagit bort nyttolasten för utpressningstrojaner (skadlig kod) från din miljö och när du har verifierat att det inte finns någon obehörig åtkomst i din Microsoft 365-klientorganisation.

Steg 2: Lägg till indikatorer

Lägg till kända kommunikationskanaler för angripare som indikatorer, blockerade i brandväggar, på proxyservrar och på slutpunkter.

Steg 3: Återställa komprometterade användare

Återställ lösenorden för kända komprometterade användarkonton och kräva en ny inloggning.

• Överväg att återställa lösenorden för alla privilegierade konton med bred administrativ auktoritet, till exempel medlemmarna i gruppen Domänadministratörer.
• Om ett användarkonto kan ha skapats av en angripare inaktiverar du kontot. Ta inte bort kontot om det inte finns några planer på att utföra säkerhetstekniska åtgärder för incidenten.

Steg 4: Isolera kontrollpunkter för angripare

Isolera alla kända kontrollpunkter för angripare i företaget från Internet.

Steg 5: Ta bort skadlig kod

Ta bort den skadliga koden från de berörda enheterna.

• Kör en fullständig, aktuell antivirusgenomsökning på alla misstänkta datorer och enheter för att identifiera och ta bort nyttolasten som är associerad med utpressningstrojaner.
• Glöm inte att skanna enheter som synkroniserar data eller mål för mappade nätverksenheter.

Steg 6: Återställa filer på en rensad enhet

Återställa filer på en rensad enhet.

• Du kan använda filhistorik i Windows 11, Windows 10, Windows 8.1 och systemskydd i Windows 7 för att försöka återställa dina lokala filer och mappar.

Steg 7: Återställa filer i OneDrive för företag

Återställa filer i OneDrive för företag.

• Med Återställning av filer i OneDrive för företag kan du återställa en hel OneDrive till en tidigare tidpunkt under de senaste 30 dagarna. Mer information finns i Återställ din OneDrive.

Steg 8: Återställa borttagen e-post

Återställa borttagen e-post.

• I det sällsynta fallet att utpressningstrojanen har tagit bort all e-post i en postlåda kan du återställa de borttagna objekten. Se Återställa borttagna meddelanden i en användares postlåda i Exchange Online.

Steg 9: Återaktivera Exchange ActiveSync och OneDrive-synkronisering

• När du har rensat dina datorer och enheter och återställt data kan du återaktivera Exchange ActiveSync och OneDrive-synkronisering som du tidigare inaktiverade i steg 3 av inneslutningen.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.