Microsoft DART Utpressningstrojan och metodtips

Utpressningstrojaner som drivs av människor är inte ett skadligt programvaruproblem – det är ett mänskligt kriminellt problem. Lösningarna som används för att hantera råvaruproblem räcker inte för att förhindra ett hot som mer liknar en nationell-statlig hotskådespelare som:

• Inaktiverar eller avinstallerar antivirusprogrammet innan filer krypteras
• Inaktiverar säkerhetstjänster och loggning för att undvika identifiering
• Letar upp och skadar eller tar bort säkerhetskopior innan ett krav på lösensumma skickas

Dessa åtgärder utförs ofta med legitima program som du kanske redan har i din miljö i administrativa syften. I kriminella händer används dessa verktyg på ett skadligt sätt för att utföra attacker.

För att möta det ökande hotet om utpressningstrojaner krävs en kombination av modern företagskonfiguration, uppdaterade säkerhetsprodukter och vaksamhet hos utbildad säkerhetspersonal för att identifiera och svara på hoten innan data går förlorade.

Microsoft Detection and Response Team (DART) svarar på säkerhetskompromisser för att hjälpa kunderna att bli cybertåliga. DART tillhandahåller reaktiv incidenthantering på plats och proaktiva fjärrutredningar. DART utnyttjar Microsofts strategiska partnerskap med säkerhetsorganisationer runt om i världen och interna Microsoft-produktgrupper för att ge en så fullständig och grundlig undersökning som möjligt.

Den här artikeln beskriver hur DART hanterar utpressningstrojanattacker för Microsoft-kunder så att du kan överväga att tillämpa delar av deras tillvägagångssätt och bästa praxis för din egen spelbok för säkerhetsåtgärder.

Mer information finns i de här avsnitten:

• Så använder DART Microsofts säkerhetstjänster
• DART-metoden för att genomföra utpressningstrojanincidentundersökningar
• DART-rekommendationer och metodtips

Anteckning

Det här artikelinnehållet härleddes från A-guiden för att bekämpa utpressningstrojaner som drivs av människor: Del 1 och A-guide för att bekämpa utpressningstrojaner som drivs av människor: Del 2 Blogginlägg från Microsoft Security-teamet .

Så använder DART Microsofts säkerhetstjänster

DART är starkt beroende av data för alla undersökningar och använder befintliga distributioner av Microsofts säkerhetstjänster som Microsoft Defender för Office 365, Microsoft Defender för Endpoint, Microsoft Defender for Identity och Microsoft Defender for Cloud Apps.

Defender för Endpoint

Defender för Endpoint är Microsofts säkerhetsplattform för företagsslutpunkter som har utformats för att hjälpa företagsnätverkssäkerhetsanalytiker att förhindra, identifiera, undersöka och svara på avancerade hot. Defender för Endpoint kan identifiera attacker med hjälp av avancerad beteendeanalys och maskininlärning. Dina analytiker kan använda Defender för Endpoint för beteendeanalys för angripare.

Här är ett exempel på en avisering i Microsoft Defender för Endpoint för en pass-the-ticket-attack.

Dina analytiker kan också utföra avancerade jaktfrågor för att pivotera bort indikatorer för kompromisser (IOCs) eller söka efter kända beteenden om de identifierar en hotskådespelaregrupp.

Här är ett exempel på hur avancerade jaktfrågor kan användas för att hitta kända angripares beteende.

I Defender för Endpoint har du åtkomst till en övervaknings- och analystjänst i realtid av Microsoft Hotexperter för pågående misstänkt aktörsaktivitet. Du kan också samarbeta med experter på begäran för ytterligare insikter om aviseringar och incidenter.

Här är ett exempel på hur Defender för Endpoint visar detaljerad utpressningstrojanaktivitet.

Defender för identitet

Du använder Defender för identitet för att undersöka kända komprometterade konton och hitta potentiellt komprometterade konton i din organisation. Defender for Identity skickar aviseringar för känd skadlig aktivitet som aktörer ofta använder, till exempel DCSync-attacker, försök att köra fjärrkod och pass-the-hash-attacker. Med Defender for Identity kan du hitta misstänkt aktivitet och konton för att begränsa undersökningen.

Här är ett exempel på hur Defender för identitet skickar aviseringar för känd skadlig aktivitet relaterad till utpressningstrojanattacker.

Defender för Cloud Apps

Med Defender för Cloud Apps (som tidigare kallades Microsoft Defender for Cloud Apps) kan dina analytiker identifiera ovanligt beteende i molnappar för att identifiera utpressningstrojaner, komprometterade användare eller otillåtna program. Defender for Cloud Apps är Microsofts LÖSNING för molnåtkomstsäkerhetskoordinator (CASB) som möjliggör övervakning av molntjänster och dataåtkomst i molntjänster av användare.

Här är ett exempel på instrumentpanelen defender för molnappar, som gör det möjligt för analys att identifiera ovanligt beteende i molnappar.

Microsoft Secure Score

Uppsättningen med Microsoft 365 Defender-tjänster ger rekommendationer för direktreparation för att minska attackytan. Microsoft Secure Score är ett mått på en organisations säkerhetsstatus, med ett högre antal som anger att fler förbättringsåtgärder har vidtagits. Se dokumentationen om säkerhetspoäng för att ta reda på mer om hur din organisation kan använda den här funktionen för att prioritera reparationsåtgärder som baseras på deras miljö.

DART-metoden för att genomföra utpressningstrojanincidentundersökningar

Du bör göra allt du kan för att fastställa hur angriparen fick åtkomst till dina tillgångar så att säkerhetsrisker kan åtgärdas. Annars är det mycket troligt att samma typ av attack kommer att äga rum igen i framtiden. I vissa fall vidtar hotskådespelaren åtgärder för att dölja sina spår och förstöra bevis, så det är möjligt att hela händelsekedjan kanske inte är uppenbar.

Följande är tre viktiga steg i DART Ransomware-undersökningar:

Steg	Mål	Inledande frågor
1. Utvärdera den aktuella situationen	Förstå omfånget	Vad gjorde dig först medveten om en utpressningstrojanattack? Vilken tid/datum lärde du dig först om incidenten? Vilka loggar är tillgängliga och finns det något som tyder på att aktören för närvarande har åtkomst till system?
2. Identifiera de berörda verksamhetsspecifika apparna (LOB)	Få systemen online igen	Kräver programmet en identitet? Är säkerhetskopior av programmet, konfigurationen och data tillgängliga? Verifieras innehållet och integriteten i säkerhetskopior regelbundet med hjälp av en återställningsövning?
3. Fastställ återställningsprocessen (CR)	Ta bort angriparens kontroll från miljön	Ej tillämpligt

Steg 1. Utvärdera den aktuella situationen

En bedömning av den aktuella situationen är avgörande för att förstå incidentens omfattning och för att fastställa de bästa personerna som kan hjälpa till och planera och begränsa undersöknings- och reparationsuppgifterna. Att ställa följande första frågor är avgörande för att hjälpa till att fastställa situationen.

Vad gjorde dig först medveten om utpressningstrojanattacken?

Om det första hotet identifierades av IT-personalen, till exempel att säkerhetskopior tas bort, antivirusaviseringar, aviseringar om slutpunktsidentifiering och svar (EDR) eller misstänkta systemändringar, är det ofta möjligt att vidta snabba beslutsamma åtgärder för att förhindra attacken, vanligtvis genom att inaktivera all inkommande och utgående Internetkommunikation. Detta kan tillfälligt påverka affärsverksamhet, men det skulle vanligtvis vara mycket mindre effektfullt än en angripare som distribuerar utpressningstrojaner.

Om hotet identifierades av ett användaranrop till IT-supportavdelningen kan det finnas tillräckligt med förvarning för att vidta defensiva åtgärder för att förhindra eller minimera effekterna av attacken. Om hotet har identifierats av en extern enhet (t.ex. brottsbekämpning eller ett finansinstitut) är det troligt att skadan redan är skedd, och du kommer att se bevis i din miljö att hotskådespelaren redan har fått administrativ kontroll över nätverket. Detta kan vara allt från utpressningstrojaner, låsta skärmar eller krav på lösensumma.

Vilket datum/vilken tid fick du först reda på incidenten?

Det är viktigt att fastställa datum och tid för den inledande aktiviteten eftersom det hjälper till att begränsa omfattningen av den inledande prioriteringen för snabba vinster från angriparen. Ytterligare frågor kan vara:

• Vilka uppdateringar saknades på det datumet? Detta är viktigt för att förstå vilka sårbarheter som kan ha utnyttjats av angriparen.
• Vilka konton användes på det datumet?
• Vilka nya konton har skapats sedan det datumet?

Vilka loggar är tillgängliga och finns det något som tyder på att aktören för närvarande har åtkomst till system?

Loggar – till exempel antivirus, EDR och virtuellt privat nätverk (VPN) – är en indikator på misstänkt komprometterande. Uppföljningsfrågor kan vara:

• Aggregeras loggar i en SIEM-lösning (Security Information and Event Management), till exempel Microsoft Sentinel, Splunk, ArcSight och andra och aktuella? Vad är kvarhållningsperioden för dessa data?
• Finns det några misstänkta komprometterade system som upplever ovanlig aktivitet?
• Finns det några misstänkta komprometterade konton som verkar användas aktivt av motståndaren?
• Finns det några bevis för aktiva kommandon och kontroller (C2s) i EDR, brandvägg, VPN, webbproxy och andra loggar?

Som en del av utvärderingen av den aktuella situationen kan du behöva en Active Directory Domain Services domänkontrollant (AD DS) som inte har komprometterats, en nyligen genomförd säkerhetskopiering av en domänkontrollant eller en domänkontrollant som nyligen tagits offline för underhåll eller uppgraderingar. Bestäm också om multifaktorautentisering (MFA) krävdes för alla i företaget och om Azure Active Directory (Azure AD) användes.

Steg 2. Identifiera LOB-appar som inte är tillgängliga på grund av incidenten

Det här steget är avgörande för att ta reda på det snabbaste sättet att få system online igen samtidigt som de bevis som krävs hämtas.

Kräver programmet en identitet?

• Hur utförs autentisering?
• Hur lagras och hanteras autentiseringsuppgifter som certifikat eller hemligheter?

Är testade säkerhetskopior av programmet, konfigurationen och data tillgängliga?

• Verifieras innehållet och integriteten i säkerhetskopior regelbundet med hjälp av en återställningsövning? Detta är särskilt viktigt när konfigurationshantering ändras eller versionsuppgraderingar.

Steg 3. Fastställa återställningsprocessen för kompromisser

Det här steget kan vara nödvändigt om du har fastställt att kontrollplanet, som vanligtvis är AD DS, har komprometterats.

Din undersökning bör alltid ha som mål att tillhandahålla utdata som matar in direkt i CR-processen. CR är den process som tar bort angriparens kontroll från en miljö och taktiskt ökar säkerhetsstatusen inom en viss tidsperiod. CR sker efter säkerhetsöverträdelse. Mer information om CR finns i bloggartikeln CRSP: The emergency team fighting cyber attacks beside customers (Microsoft Compromise Recovery Security Practice-teamets CRSP: The emergency team fighting cyber attacks beside customers).

När du har samlat svaren på frågorna ovan kan du skapa en lista över uppgifter och tilldela ägare. En viktig faktor för ett lyckat incidenthanteringsengagemang är noggrann, detaljerad dokumentation för varje arbetsobjekt (till exempel ägare, status, resultat, datum och tid), vilket gör kompileringen av resultaten i slutet av åtagandet till en enkel process.

DART-rekommendationer och metodtips

Här är DART:s rekommendationer och metodtips för inneslutning och aktiviteter efter incident.

Behållare

Inneslutning kan bara ske när analysen har fastställt vad som behöver finnas. När det gäller utpressningstrojaner är angriparens mål att få autentiseringsuppgifter som tillåter administrativ kontroll över en server med hög tillgänglighet och sedan distribuerar utpressningstrojaner. I vissa fall identifierar hotskådespelaren känsliga data och exfilterar dem till en plats som de kontrollerar.

Taktisk återhämtning kommer att vara unikt för din organisations miljö, bransch och nivå av IT-expertis och erfarenhet. Stegen som beskrivs nedan rekommenderas för kortsiktiga och taktiska inneslutningssteg som din organisation kan vidta. Mer information om långsiktig vägledning finns i Skydda privilegierad åtkomst. En omfattande vy över utpressningstrojaner och utpressning och hur du förbereder och skyddar din organisation finns i Utpressningstrojaner som drivs av människor.

Följande inneslutningssteg kan utföras samtidigt som nya hotvektorer identifieras.

Steg 1: Utvärdera situationens omfattning

• Vilka användarkonton har komprometterats?
• Vilka enheter påverkas?
• Vilka program påverkas?

Steg 2: Bevara befintliga system

• Inaktivera alla privilegierade användarkonton förutom ett litet antal konton som används av dina administratörer för att hjälpa till att återställa integriteten för AD DS-infrastrukturen. Om ett användarkonto tros vara komprometterat inaktiverar du det omedelbart.
• Isolera komprometterade system från nätverket, men stäng inte av dem.
• Isolera minst en känd bra domänkontrollant i varje domän-två är ännu bättre. Koppla antingen bort dem från nätverket eller stäng av dem helt. Syftet här är att stoppa spridningen av utpressningstrojaner till att kritiska systemidentiteter är bland de mest sårbara. Om alla domänkontrollanter är virtuella kontrollerar du att virtualiseringsplattformens system och dataenheter säkerhetskopieras till externa offlinemedier som inte är anslutna till nätverket, om själva virtualiseringsplattformen komprometteras.
• Isolera kritiska kända bra programservrar, till exempel SAP, konfigurationshanteringsdatabas (CMDB), fakturerings- och redovisningssystem.

Dessa två steg kan utföras samtidigt som nya hotvektorer identifieras. Inaktivera dessa hotvektorer och försök sedan hitta ett fungerande system för att isolera från nätverket.

Andra taktiska inneslutningsåtgärder kan vara:

• Återställ krbtgt-lösenordet två gånger i snabb följd. Överväg att använda en skriptad, repeterbar process. Med det här skriptet kan du återställa krbtgt-kontots lösenord och relaterade nycklar samtidigt som du minimerar sannolikheten för kerberos-autentiseringsproblem som orsakas av åtgärden. För att minimera potentiella problem kan livslängden för krbtgt minskas en eller flera gånger före den första lösenordsåterställningen så att de två återställningarna görs snabbt. Observera att alla domänkontrollanter som du planerar att behålla i din miljö måste vara online.

• Distribuera en grupprincip till hela domänerna som förhindrar privilegierad inloggning (domänadministratörer) till allt annat än domänkontrollanter och privilegierade arbetsstationer (om sådan finns).

• Installera alla saknade säkerhetsuppdateringar för operativsystem och program. Varje uppdatering som saknas är en potentiell hotvektor som angripare snabbt kan identifiera och utnyttja. Microsoft Defender för Endpoint hot- och sårbarhetshantering är ett enkelt sätt att se exakt vad som saknas och den potentiella effekten av de saknade uppdateringarna.

  • För Windows 10 (eller högre) enheter kontrollerar du att den aktuella versionen (eller n-1) körs på alla enheter.

  • Distribuera regler för minskning av attackytan (ASR) för att förhindra angrepp mot skadlig kod.

  • Aktivera alla Windows 10 säkerhetsfunktioner.

• Kontrollera att alla externa program, inklusive VPN-åtkomst, skyddas med multifaktorautentisering, helst med hjälp av ett autentiseringsprogram som körs på en skyddad enhet.

• För enheter som inte använder Defender för Endpoint som primärt antivirusprogram kör du en fullständig genomsökning med Microsoft Safety Scanner på isolerade fungerande system innan du återansluter dem till nätverket.

• För äldre operativsystem uppgraderar du till ett operativsystem som stöds eller inaktiverar dessa enheter. Om dessa alternativ inte är tillgängliga kan du vidta alla möjliga åtgärder för att isolera dessa enheter, inklusive nätverks-/VLAN-isolering, IPsec-regler (Internet Protocol Security) och inloggningsbegränsningar, så att de endast är tillgängliga för programmen av användarna/enheterna för att tillhandahålla affärskontinuitet.

De mest riskfyllda konfigurationerna består av att köra verksamhetskritiska system på äldre operativsystem så gamla som Windows NT 4.0 och program, allt på äldre maskinvara. Dessa operativsystem och program är inte bara osäkra och sårbara. Om maskinvaran misslyckas kan säkerhetskopieringar vanligtvis inte återställas på modern maskinvara. Om inte ersättning av äldre maskinvara är tillgänglig upphör dessa program att fungera. Överväg att konvertera dessa program så att de körs på aktuella operativsystem och maskinvara.

Aktiviteter efter incident

DART rekommenderar att du implementerar följande säkerhetsrekommendationer och metodtips efter varje incident.

• Se till att det finns metodtips för e-post och samarbetslösningar för att göra det svårare för angripare att missbruka dem samtidigt som interna användare enkelt och säkert kan komma åt externt innehåll.

• Följ Nolltillit rekommenderade säkerhetsmetoder för fjärråtkomstlösningar till interna organisationsresurser.

• Börja med administratörer med kritisk påverkan och följ metodtipsen för kontosäkerhet, inklusive användning av lösenordsfri autentisering eller MFA.

• Implementera en omfattande strategi för att minska risken för att privilegierad åtkomst komprometteras.

  • För administrativ åtkomst till molnet och skogen/domänen använder du Microsofts PAM (Privileged Access Model).

  • För hantering av slutpunktsadministration använder du den lokala lösningen för administrativa lösenord (LAPS).

• Implementera dataskydd för att blockera tekniker för utpressningstrojaner och för att bekräfta snabb och tillförlitlig återställning från en attack.

• Granska dina kritiska system. Sök efter skydd och säkerhetskopior mot avsiktlig radering eller kryptering av angripare. Det är viktigt att du regelbundet testar och validerar dessa säkerhetskopior.

• Säkerställ snabb identifiering och reparation av vanliga attacker på slutpunkt, e-post och identitet.

• Identifiera och kontinuerligt förbättra din miljös säkerhetsstatus.

• Uppdatera organisationens processer för att hantera större utpressningstrojanhändelser och effektivisera outsourcing för att undvika friktion.

PAM

Användning av PAM (kallades tidigare nivåindelad administrationsmodell) förbättrar Azure AD säkerhetsstatus. Detta omfattar:

• Dela upp administrativa konton i ett "planerat" miljö-ett-konto för varje nivå, vanligtvis fyra:

• Kontrollplan (tidigare nivå 0): Administration av domänkontrollanter och andra viktiga identitetstjänster, till exempel Active Directory Federation Services (AD FS) (ADFS) eller Azure AD Connect. Detta omfattar även serverprogram som kräver administrativa behörigheter till AD DS, till exempel Exchange Server.

• De följande två planen var tidigare nivå 1:

  • Hanteringsplan: Tillgångshantering, övervakning och säkerhet.

  • Data/arbetsbelastningsplan: Program och programservrar.

• De följande två planen var tidigare nivå 2:

  • Användaråtkomst: Åtkomstbehörigheter för användare (till exempel konton).

  • Appåtkomst: Åtkomstbehörigheter för program.

• Vart och ett av dessa plan har en separat administrativ arbetsstation för varje plan och har endast åtkomst till system i det planet. Andra konton från andra plan nekas åtkomst till arbetsstationer och servrar i de andra planen via tilldelningar av användarrättigheter som angetts till dessa datorer.

Nettoresultatet av PAM är att:

• Ett komprometterat användarkonto har bara åtkomst till det plan som det tillhör.

• Känsligare användarkonton loggar inte in på arbetsstationer och servrar med en lägre säkerhetsnivå, vilket minskar lateral förflyttning.

VARV

Som standard har Microsoft Windows och AD DS ingen centraliserad hantering av lokala administrativa konton på arbetsstationer och medlemsservrar. Detta resulterar vanligtvis i ett vanligt lösenord som ges för alla dessa lokala konton, eller åtminstone i grupper av datorer. Detta gör det möjligt för potentiella angripare att kompromettera ett lokalt administratörskonto och sedan använda det kontot för att få åtkomst till andra arbetsstationer eller servrar i organisationen.

Microsofts LAPS minskar detta genom att använda ett grupprincip tillägg på klientsidan som ändrar det lokala administrativa lösenordet med jämna mellanrum på arbetsstationer och servrar enligt principuppsättningen. Vart och ett av dessa lösenord är olika och lagras som ett attribut i AD DS-datorobjektet. Det här attributet kan hämtas från ett enkelt klientprogram, beroende på vilka behörigheter som tilldelats attributet.

LAPS kräver att AD DS-schemat utökas så att ytterligare attribut, LAPS-grupprincip mallar installeras och ett litet tillägg på klientsidan installeras på varje arbetsstation och medlemsserver för att tillhandahålla funktioner på klientsidan.

Du kan hämta LAPS från Microsoft Download Center.

Ytterligare resurser för utpressningstrojaner

Viktig information från Microsoft:

• Det växande hotet från utpressningstrojaner, blogginlägget Microsoft On the Issues den 20 juli 2021
• Utpressningstrojaner som drivs av människor
• Skydda snabbt mot utpressningstrojaner och utpressning
• 2021 Microsofts rapport om digitalt försvar (se sidorna 10-19)
• Utpressningstrojan: En omfattande och pågående hotanalysrapport i Microsoft 365 Defender-portalen
• Fallstudie om Utpressningstrojaner i Microsoft DART

Microsoft 365:

• Distribuera skydd mot utpressningstrojaner för din Microsoft 365-klientorganisation
• Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
• Återställa från en utpressningstrojanattack
• Skydd mot skadlig kod och utpressningstrojaner
• Skydda din Windows 10 dator mot utpressningstrojaner
• Hantera utpressningstrojaner i SharePoint Online
• Hotanalysrapporter för utpressningstrojaner i Microsoft 365 Defender-portalen

Microsoft 365 Defender:

• Hitta utpressningstrojaner med avancerad jakt

Microsoft Azure:

• Azure Defenses för utpressningstrojanattack
• Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
• Säkerhetskopierings- och återställningsplan för att skydda mot utpressningstrojaner
• Skydda mot utpressningstrojaner med Microsoft Azure Backup (26-minuters video)
• Återställning från systemisk identitetskompensation
• Avancerad attackidentifiering i flera steg i Microsoft Sentinel
• Fusionsidentifiering för utpressningstrojaner i Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Skapa principer för avvikelseidentifiering i Defender för Cloud Apps

Blogginlägg från Microsoft Security-teamet:

• 3 steg för att förhindra och återställa från utpressningstrojaner (september 2021)

• En guide för att bekämpa utpressningstrojaner som drivs av människor: Del 1 (september 2021)

  Viktiga steg för hur Microsofts DART utför utpressningstrojanincidenter.

• En guide för att bekämpa utpressningstrojaner som drivs av människor: Del 2 (september 2021)

  Rekommendationer och metodtips.

• Bli motståndskraftig genom att förstå cybersäkerhetsrisker: Del 4–navigera aktuella hot (maj 2021)

  Se avsnittet Utpressningstrojaner .

• Attacker mot utpressningstrojaner som drivs av människor: En katastrof som kan förebyggas (mars 2020)

  Innehåller analys av angreppskedjan av faktiska attacker.

• Svar på utpressningstrojaner för att betala eller inte betala? (december 2019)

• Norsk Hydro svarar på utpressningstrojanattack med transparens (december 2019)