通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

检测和响应勒索软件攻击

  • 项目

有几个潜在的触发器可能指示出现勒索软件事件。 与许多其他类型的恶意软件不同,大多数都是较高置信度的触发器(在声明事件之前,只应进行很少的额外调查或分析),而不是较低置信度的触发器(在声明事件之前,可能需要进行更多调查或分析)。

通常,此类感染明显来自基本系统行为、缺少关键系统或用户文件,以及对赎金的需求。 在这种情况下,分析人员应考虑是否要立即声明并上报事件,包括采取任何自动操作来缓解攻击。

检测勒索软件攻击

Microsoft Defender for Cloud 提供高质量的威胁检测和响应功能(也称为扩展检测和响应 (XDR))。

确保快速检测对 VM、SQL Server、Web 应用程序和标识的常见攻击并进行相应的补救。

  • 为常用入口点设置优先级 – 勒索软件(和其他)操作员偏爱终结点/电子邮件/标识 + 远程桌面协议 (RDP)

    • 集成的 XDR - 使用 Microsoft Defender for Cloud 等集成的扩展检测和响应 (XDR) 工具提供高质量警报并尽量减少响应期间的冲突和手动步骤
    • 暴力攻击 - 监视密码喷射等暴力攻击尝试

  • 监视禁用安全措施的对手 - 因为这通常是人为操作的勒索软件 (HumOR) 攻击链的一部分

  • 事件日志清除 – 尤其是安全事件日志和 PowerShell 操作日志

    • 禁用安全工具/控制措施(与某些组关联)

  • 不忽略商业恶意软件 - 勒索软件攻击者会定期从黑市购买对目标组织的访问权限

  • 将外部专家(例如 Microsoft 事件响应团队,以前称为 DART/CRSP)纳入流程中以补充专业知识

  • 使用本地部署中的 Defender for Endpoint 快速隔离遭到入侵的设备

响应勒索软件攻击

事件声明

确认成功感染了勒索软件后,分析人员应验证这是代表一个新事件,还是它可能与现有事件相关。 查找指示类似事件的当前正在处理中的工单。 如果有,请用票证系统中的新信息更新当前事件票证。 如果这是一个新事件,则应在相关票证系统中声明事件,并将其上报给适当的团队或提供商,以限制并缓解事件。 请注意,管理勒索软件事件可能需要由多个 IT 和安全团队采取行动。 在可能的情况下,请确保将该票证清楚地标识为勒索软件事件以引导工作流。

限制/缓解

通常,应将各种服务器/终结点反恶意软件、电子邮件反恶意软件和网络保护解决方案配置为自动限制已知的勒索软件并缓解其攻击。 然而,可能会存在这样的情况:特定的勒索软件变体已能够绕过这种保护,并成功感染目标系统。

Microsoft 在首要的 Azure 安全最佳做法中提供了广泛的资源来帮助更新你的事件响应过程。

下面是一些建议的操作,用于在反恶意软件系统执行的自动操作已失败的情况下限制或缓解涉及勒索软件的已声明事件:

  1. 通过标准支持流程与反恶意软件供应商接洽
  2. 手动将与恶意软件相关的哈希和其他信息添加到反恶意软件系统
  3. 应用反恶意软件供应商更新
  4. 限制受影响的系统,直到可以对其进行修正
  5. 禁用遭到入侵的帐户
  6. 执行根本原因分析
  7. 在受影响的系统上应用相关的补丁和配置更改
  8. 使用内部和外部控制措施阻止勒索软件通信
  9. 清除缓存内容

恢复之路

Microsoft 检测和响应团队将帮助你防范攻击

对于勒索软件目标而言,率先了解并修复导致入侵的根本安全问题应是重中之重。

将外部专家(例如 Microsoft 事件响应)纳入流程中,以补充专业知识。 Microsoft 事件响应团队与全球各地客户开展合作,帮助客户在攻击发生前加强安全防范,并在攻击发生时予以调查和修正。

客户可从 Microsoft Defender 门户中直接联系我们的安全专家,以便及时、精准地获得响应。 专家将提供客户所需的见解,以便客户更好地了解影响组织的复杂威胁(从警报查询、可能遭到入侵的设备、可疑网络连接的根本原因到与持续的高级持久威胁活动有关的其他威胁情报)。

Microsoft 已准备好帮助你的公司重返安全运营。

Microsoft 会执行数百个入侵恢复,并且有一套已证明可行的方法。 它不仅让你更加安全,还为你提供考虑长期策略(而不是应对这种情况)的机会。

Microsoft 提供快速勒索软件恢复服务。 在这种情况下,Microsoft 将在所有方面(如还原标识服务、修正和强化以及监视部署)提供协助,以帮助勒索软件攻击目标在尽可能最短的时间内恢复正常工作。

我们的快速勒索软件恢复服务在服务的持续时间内被视为“机密”。 快速勒索软件恢复服务由入侵恢复安全实践 (CRSP) 团队(“Azure 云与 AI 领域”的一部分)专门提供。 有关详细信息,可以通过请求有关 Azure 安全的联系人联系 CRSP。

后续步骤

参阅白皮书:Azure 针对勒索软件攻击的防御措施白皮书

本系列中的其他文章: