Aracılığıyla paylaş


Fidye yazılımı saldırılarına yanıt verme

Not

Microsoft Defender XDR’yi denemek mi istiyorsunuz? Microsoft Defender XDR'yi değerlendirme ve denemehakkında daha fazla bilgi edinin.

Fidye yazılımı saldırısı altında olduğunuzdan veya şu anda bir fidye yazılımı saldırısı altında olduğunuzdan şüphelendiğinizde olay yanıtı ekibinizle hemen güvenli iletişim kurun. Saldırıyı kesintiye uğratmak ve hasarı azaltmak için aşağıdaki yanıt aşamalarını gerçekleştirebilir:

  • Araştırma ve kapsama
  • Silme ve kurtarma

Bu makalede fidye yazılımı saldırılarına yanıt vermek için genelleştirilmiş bir playbook sağlanır. Bu makalede açıklanan adımları ve görevleri kendi güvenlik operasyonları playbook'unuza uyarlamayı göz önünde bulundurun. NOT: Fidye yazılımı saldırılarını önleme hakkında bilgi için bkz. Fidye yazılımı önlemelerini hızla dağıtma.

Çevreleme

Kapsama ve araştırma mümkün olduğunca aynı anda gerçekleşmelidir; Ancak, araştırmak için daha fazla zaman elde etmek için hızla kapsamaya odaklanmanız gerekir. Bu adımlar, saldırının kapsamını belirlemenize ve yalnızca kullanıcı hesapları ve cihazlar gibi etkilenen varlıklarla yalıtmanıza yardımcı olur.

1. Adım: Olayın kapsamını değerlendirme

Saldırının kapsamını keşfetmek için bu soru ve görev listesini inceleyin. Microsoft Defender XDR, olay yanıtı değerlendirmenize yardımcı olmak için etkilenen veya risk altındaki tüm varlıkların birleştirilmiş bir görünümünü sağlayabilir. Bkz. Microsoft Defender XDR ile olay yanıtı. Aşağıdakileri belirlemek için olaydaki uyarıları ve kanıt listesini kullanabilirsiniz:

  • Hangi kullanıcı hesapları tehlikeye girebilir?
    • Yükü teslim etmek için hangi hesaplar kullanıldı?
  • Hangi eklenen ve bulunan cihazlar etkilenir ve nasıl etkilenir?
    • Kaynak cihazlar
    • Etkilenen cihazlar
    • Şüpheli cihazlar
  • Olayla ilişkili tüm ağ iletişimlerini belirleyin.
  • Hangi uygulamalar etkilenir?
  • Hangi yükler yayıldı?
  • Saldırgan güvenliği aşılmış cihazlarla nasıl iletişim kuruyor? (Ağ koruması etkinleştirilmelidir):
  • Yük teslim ortamı neydi?

2. Adım: Mevcut sistemleri koruma

Mevcut sistemleri saldırılara karşı korumak için bu görev ve soruların listesini inceleyin:

  • Çevrimiçi yedeklemeleriniz varsa, saldırının söz konusu olduğundan emin olana kadar yedekleme sisteminin ağ bağlantısını kesmeyi göz önünde bulundurun, bkz. Fidye yazılımlarına karşı koruma sağlamak için yedekleme ve geri yükleme planı | Microsoft Docs.
  • Yakın ve etkin bir fidye yazılımı dağıtımıyla karşılaşıyorsanız veya bu dağıtımı bekliyorsanız:
    • Saldırının bir parçası olduğundan şüphelendiğiniz ayrıcalıklı ve yerel hesapları askıya alın. Bunu, Microsoft Defender portalındaki olayın özelliklerindeki Kullanıcılar sekmesinden yapabilirsiniz.
    • Tüm uzak oturum açma oturumlarını durdurun.
    • Güvenliği aşılmış kullanıcı hesabı parolalarını sıfırlayın ve güvenliği aşılmış kullanıcı hesaplarının kullanıcılarının yeniden oturum açmasını sağlayın.
    • Güvenliği aşılmış olabilecek kullanıcı hesapları için de aynı işlemi yapın.
    • Paylaşılan yerel hesapların güvenliği aşıldıysa, BT yöneticinizin kullanıma sunulan tüm cihazlarda parola değişikliğini zorunlu kılmanıza yardımcı olmasını sağlayın. Örnek Kusto sorgusu:
DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 
  • Henüz yalıtılmış olmayan ve kritik altyapının parçası olmayan cihazlar için:
    • Güvenliği aşılmış cihazları ağdan yalıtın, ancak kapatmayın.
    • Kaynak veya yayıcı cihazları tanımlarsanız, önce bunları yalıtın.
  • Analiz için güvenliği aşılmış sistemleri koruma.

3. Adım: Yayılmayı engelleme

Saldırının ek varlıklara yayılmasının engellenmesi için bu listeyi kullanın.

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
  • RDP olmayan oturum açma işlemleri için Kusto sorgusu (çoğu ağ için daha gerçekçi):
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

Soruşturma

Saldırıyı araştırmak ve yanıtınızı planlamak için bu bölümü kullanın.

Geçerli durumunuzu değerlendirme

  • Başlangıçta fidye yazılımı saldırısının farkında olmanıza neden olan şey nedir?
    • BT personeli yedeklemelerin silindiğini fark etme, virüsten koruma uyarıları, uç nokta algılama ve yanıt (EDR) uyarıları veya şüpheli sistem değişiklikleri gibi ilk tehdidi belirlediyse, genellikle bu makalede açıklanan kapsama eylemleriyle saldırıyı engellemek için hızlı kararlı önlemler almak mümkündür.
  • Olayı ilk olarak hangi tarih ve saatle öğrendiniz?
    • Bu tarihte cihazlara hangi sistem ve güvenlik güncelleştirmeleri yüklenmedi? Bu, diğer cihazlarda ele alınabilmeleri için hangi güvenlik açıklarından yararlanılmış olabileceğini anlamak için önemlidir.
    • Bu tarihte hangi kullanıcı hesapları kullanıldı?
    • Bu tarihten sonra hangi yeni kullanıcı hesapları oluşturuldu?
    • Olayın gerçekleştiği sırada otomatik olarak başlamak için hangi programlar eklendi?
  • Saldırganın şu anda sistemlere eriştiğine dair bir gösterge var mı?
    • Olağan dışı etkinlik yaşayan şüpheli bir sistem var mı?
    • Saldırgan tarafından aktif olarak kullanılan şüpheli bir hesap var mı?
    • EDR, güvenlik duvarı, VPN, web proxy'si ve diğer günlüklerde etkin komut ve denetim (C2) sunucuları olduğuna dair bir kanıt var mı?

Fidye yazılımı işlemini tanımlama

  • Gelişmiş avcılığı kullanarak, diğer cihazlardaki işlem oluşturma olaylarında tanımlanan işlemi arayın.

Virüslü cihazlarda kullanıma sunulan kimlik bilgilerini arayın

  • Kimlik bilgileri tehlikeye girmiş olabilecek kullanıcı hesapları için hesap parolalarını sıfırlayın ve kullanıcıların yeniden oturum açmasını sağlayın.
  • Aşağıdaki GÇA'lar yanal hareketi gösterebilir:
Genişletmek için tıklayın
  • SuspiciousExploratoryCommands
  • MLFileBasedAlert
  • IfeoDebuggerPersistence
  • SuspiciousRemoteFileDropAndExecution
  • ExploratoryWindowsCommands
  • IoaStickyKeys
  • Mimikatz Defender Amplifikatör
  • PARINACOTA tarafından kullanılan ağ tarama aracı
  • DefenderServerAlertMSSQLServer
  • SuspiciousLowReputationFileDrop
  • SuspiciousServiceExecution
  • AdminUserAddition
  • MimikatzArtifactsDetector
  • Scuba-WdigestEnabledToAccessCredentials
  • DefenderMalware
  • MLSuspCmdBehavior
  • MLSuspiciousRemoteInvocation
  • SuspiciousRemoteComponentInvocation
  • SuspiciousWmiProcessCreation
  • MLCmdBasedWithRemoting
  • İşlem Erişimleri Lsass
  • Şüpheli Rundll32 İşlem Yürütmesi
  • BitsAdmin
  • DefenderCobaltStrikeDetection
  • DefenderHacktool
  • IoaSuspPSCommandline
  • Metasploit
  • MLSuspToolBehavior
  • RegistryQueryForPasswords
  • SuspiciousWdavExclusion
  • ASEPRegKey
  • CobaltStrikeExecutionDetection
  • DefenderBackdoor
  • DefenderBehaviorSuspiciousActivity
  • DefenderMalwareExecuted
  • DefenderServerAlertDomainController
  • DupTokenPrivilegeEscalationDetector
  • FakeWindowsBinary
  • IoaMaliciousCmdlets
  • LivingOffTheLandBinary
  • MicrosoftSignedBinaryAbuse
  • MicrosoftSignedBinaryScriptletAbuse
  • MLFileBasedWithRemoting
  • MLSuspSvchostBehavior
  • ReadSensitiveMemory
  • RemoteCodeInjection-IREnabled
  • Scuba-EchoSeenOverPipeOnLocalhost
  • Scuba-SuspiciousWebScriptFileDrop
  • odbcconf tarafından şüpheli DLL kaydı
  • Şüpheli DPAPI Etkinliği
  • Şüpheli Exchange İşlem Yürütmesi
  • Şüpheli zamanlanmış görev başlatma
  • SuspiciousLdapQueryDetector
  • SuspiciousScheduledTaskRegistration
  • Güvenilmeyen uygulama bir RDP bağlantısı açar

Olay nedeniyle kullanılamayan iş kolu (LOB) uygulamalarını belirleme

  • Uygulama için kimlik gerekiyor mu?
    • Kimlik doğrulaması nasıl gerçekleştirilir?
    • Sertifikalar veya gizli diziler gibi kimlik bilgileri nasıl depolanır ve yönetilir?
  • Uygulamanın, yapılandırmasının ve verilerinin değerlendirilen yedeklemeleri kullanılabilir mi?
  • Risk altındaki kurtarma işleminizi belirleyin.

Silme ve kurtarma

Tehdidi ortadan kaldırıp zarar görmüş kaynakları kurtarmak için bu adımları kullanın.

1. Adım: Yedeklemelerinizi doğrulama

Çevrimdışı yedeklemeleriniz varsa, büyük olasılıkla fidye yazılımı yükünü (kötü amaçlı yazılım) ortamınızdan kaldırdıktan ve Microsoft 365 kiracınızda yetkisiz erişim olmadığını doğruladıktan sonra şifrelenmiş verileri geri yükleyebilirsiniz.

2. Adım: Gösterge ekleme

Bilinen saldırgan iletişim kanallarını gösterge olarak, güvenlik duvarlarında, ara sunucularınızda ve uç noktalarda engellenmiş olarak ekleyin.

3. Adım: Güvenliği aşılmış kullanıcıları sıfırlama

Güvenliği aşılmış bilinen tüm kullanıcı hesaplarının parolalarını sıfırlayın ve yeni bir oturum açma gerektirir.

  • Domain Admins grubunun üyeleri gibi geniş bir yönetim yetkilisine sahip tüm ayrıcalıklı hesapların parolalarını sıfırlamayı göz önünde bulundurun.
  • Bir saldırgan tarafından bir kullanıcı hesabı oluşturulmuş olabilirse, hesabı devre dışı bırakın. Olay için güvenlik adli işlemlerini gerçekleştirmeye yönelik bir plan olmadığı sürece hesabı silmeyin.

4. Adım: Saldırgan denetim noktalarını yalıtma

Kuruluş içindeki bilinen tüm saldırgan denetim noktalarını İnternet'ten yalıtın.

5. Adım: Kötü amaçlı yazılımları kaldırma

Kötü amaçlı yazılımları etkilenen cihazlardan kaldırın.

  • Fidye yazılımıyla ilişkili yükü algılamak ve kaldırmak için tüm şüpheli bilgisayarlarda ve cihazlarda tam, güncel bir virüsten koruma taraması çalıştırın.
  • Eşlenen ağ sürücülerinin verilerini veya hedeflerini eşitleyen cihazları taramayı unutmayın.

6. Adım: Temizlenen bir cihazda dosyaları kurtarma

Temizlenmiş bir cihazdaki dosyaları kurtarma.

  • Yerel dosya ve klasörlerinizi kurtarmaya çalışmak için Windows 7'de Windows 11, Windows 10, Windows 8.1 ve Sistem Koruması'nda Dosya Geçmişi'ni kullanabilirsiniz.

7. Adım: OneDrive İş dosyaları kurtarma

OneDrive İş dosyaları kurtarma.

  • OneDrive İş'da Dosyaları Geri Yükleme özelliği, OneDrive'ın tamamını son 30 gün içinde önceki bir noktaya geri yüklemenizi sağlar. Daha fazla bilgi için bkz. OneDrive'ınızı yeniden yükleyin.

8. Adım: Silinen e-postayı kurtarma

Silinen e-postayı kurtarın.

9. Adım: Exchange ActiveSync ve OneDrive eşitleme yeniden etkinleştirme

  • Bilgisayarlarınızı ve cihazlarınızı temizledikten ve verileri kurtardıktan sonra, daha önce kapsamanın 3. adımında devre dışı bırakmış olduğunuz Exchange ActiveSync ve OneDrive eşitleme yeniden etkinleştirebilirsiniz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.