使用 Microsoft Defender XDR 检测人为操作的勒索软件攻击

注意

想要体验Microsoft Defender XDR? 详细了解如何评估和试点Microsoft Defender XDR

勒索软件是一种敲诈勒索攻击,可破坏或加密文件和文件夹,阻止访问关键数据或中断关键业务系统。 有两种类型的勒索软件:

  • 商品勒索软件是一种恶意软件,它通过网络钓鱼或在设备之间传播,并在要求赎金之前加密文件。
  • 人为操作的勒索软件是由采用多种攻击方法的活跃网络罪犯策划和协调的攻击。 在许多情况下,已知技术和工具用于渗透组织,找到值得敲诈的资产或系统,然后要求赎金。 入侵网络后,攻击者对可以加密或敲诈的资产和系统进行侦察。 然后,攻击者在要求赎金之前加密或泄露数据。

本文介绍使用 Microsoft Defender 门户主动检测新的或正在进行的人为操作勒索软件攻击,这是针对以下安全服务的扩展检测和响应 (XDR) 解决方案:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps (包括应用治理加载项)
  • Microsoft Entra ID 保护
  • 适用于 IoT 的 Microsoft Defender
  • Microsoft 365 商业高级版
  • Microsoft Defender 商业版

有关防止勒索软件攻击的信息,请参阅 快速部署勒索软件防护 - 阶段 3:使其难以进入

主动检测的重要性

由于人为操作的勒索软件通常由活动攻击者执行,攻击者可能正在执行渗透和实时发现最有价值的数据和系统的步骤,因此检测勒索软件攻击所花费的时间至关重要。

如果快速检测到赎金前活动,则严重攻击的可能性会降低。 赎金前阶段通常包括以下技术:初始访问、侦查、凭据盗窃、横向移动和持久性。 这些技术最初看起来无关,经常在雷达下飞行。 如果这些技术导致赎金阶段,通常为时已晚。 Microsoft Defender XDR可以帮助识别那些看似无关的小型事件,这些事件可能是大型勒索软件活动的一部分。

  • 在预赎金阶段检测到时,可以使用较小的缓解措施(例如隔离受感染的设备或用户帐户)来中断和修正攻击。
  • 如果检测发生在以后的阶段(例如部署用于加密文件的恶意软件时),则可能需要使用可能导致停机的更激进的修正步骤来中断和修正攻击。

在响应勒索软件攻击时,业务运营可能会中断。 勒索软件攻击的结束阶段通常是选择由具有重大风险的攻击者导致的停机时间,或控制停机时间,以确保网络安全并为你提供充分调查的时间。 我们绝不建议支付赎金。 向网络罪犯支付费用以获取勒索软件解密密钥不能保证你的加密数据会还原。 请参阅 勒索软件响应 - Microsoft 安全博客

下面是勒索软件攻击的影响与无检测响应时间与主动检测和响应时间的定性关系。

勒索软件攻击的影响与无检测响应时间与主动检测和响应时间的定性关系,表明对业务的影响降低,响应越快。

通过常见的恶意软件工具和技术进行主动检测

在许多情况下,人为操作的勒索软件攻击者使用已知且经过现场测试的恶意软件策略、技术、工具和过程,包括钓鱼、商业电子邮件入侵 (BEC) 以及凭据盗窃。 安全分析师必须了解并熟悉攻击者如何使用常见的恶意软件和网络攻击方法在你的组织中站稳脚跟。

若要查看勒索软件攻击如何开始使用常见恶意软件的示例,请参阅以下资源:

熟悉预勒索恶意软件、有效负载和活动可帮助分析师了解应查找的内容,以防止攻击的后续阶段。

人为操作的勒索软件攻击策略

由于人为操作的勒索软件可以使用已知的攻击技术和工具,因此在为 SecOps 团队准备重点勒索软件检测实践时,分析师对现有攻击技术和工具的理解和经验将是一笔宝贵的资产。

攻击策略和方法

下面是勒索软件攻击者针对以下 MITRE ATT&CK 策略使用的一些典型技术和工具:

初始访问:

  • RDP 暴力破解
  • 易受攻击的面向 Internet 的系统
  • 弱应用程序设置
  • 钓鱼电子邮件

凭据盗窃:

  • Mimikatz
  • LSA 机密
  • 凭据保管库
  • 纯文本凭据
  • 滥用服务帐户

横向移动:

  • 钴罢工
  • WMI
  • 滥用管理工具
  • PsExec

坚持:

  • 新帐户
  • GPO 更改
  • 影子 IT 工具
  • 计划任务
  • 服务注册

防御规避:

  • 禁用安全功能
  • 清除日志文件
  • 删除攻击项目文件
  • 重置已更改文件的时间戳

外泄:

  • 敏感数据的外泄影响 (财务杠杆) :
  • 就地和备份中的数据加密
  • 删除就地数据和备份,这可能与前面的外泄相结合
  • 泄露的敏感数据的公共泄漏威胁

要查找的内容

安全分析师面临的挑战是识别警报何时是更大的攻击链的一部分,其目标是敲诈敏感数据或关键系统。 例如,检测到的钓鱼攻击可能是:

  • 一次性攻击,用于对组织财务部门中的某人的电子邮件进行一次性攻击。
  • 攻击链的预勒索部分,用于使用泄露的用户帐户凭据来发现用户帐户可用的资源,并泄露具有更高权限和访问权限级别的其他用户帐户。

本部分提供常见的攻击阶段和方法,以及源到中央Microsoft Defender门户的信号源,这些门户创建由多个相关警报组成的警报和事件,用于安全分析。 在某些情况下,可以通过备用安全门户查看攻击数据。

获取入口的初始攻击

攻击者试图破坏用户帐户、设备或应用。

攻击方法 信号源 备用安全门户
RDP 暴力破解 Defender for Endpoint Defender for Cloud Apps
易受攻击的面向 Internet 的系统 适用于服务器的 Windows 安全功能Microsoft Defender
弱应用程序设置 Defender for Cloud Apps、Defender for Cloud Apps 和应用治理加载项 Defender for Cloud Apps
恶意应用活动 Defender for Cloud Apps、Defender for Cloud Apps 和应用治理加载项 Defender for Cloud Apps
钓鱼电子邮件 Defender for Office 365
针对Microsoft Entra帐户的密码喷射 通过 Defender for Cloud Apps Microsoft Entra ID 保护 Defender for Cloud Apps
针对本地帐户的密码喷射 Microsoft Defender for Identity
设备泄漏 Defender for Endpoint
凭据盗窃 Microsoft Defender for Identity
特权提升 Microsoft Defender for Identity

其他典型行为的最近峰值

攻击者正在尝试探测其他要泄露的实体。

峰值类别 信号源 备用安全门户
登录:多次尝试失败、尝试在短时间内登录多个设备、多次首次登录等。 通过 Defender for Cloud Apps Microsoft Entra ID 保护,Microsoft Defender for Identity Defender for Cloud Apps
最近处于活动状态的用户帐户、组、计算机帐户、应用 通过 Defender for Cloud Apps (Microsoft Entra ID) 、Defender for Identity (Active Directory 域服务 [AD DS]) Microsoft Entra ID 保护 Defender for Cloud Apps
最近的应用活动,例如数据访问 具有 Defender for Cloud Apps 的应用和应用治理加载项 Defender for Cloud Apps

新建活动

攻击者正在创建新实体,以进一步访问、安装恶意软件代理或逃避检测。

活动 信号源 备用安全门户
安装的新应用 具有应用治理加载项的 Defender for Cloud Apps Defender for Cloud Apps
新用户帐户 Azure 标识保护 Defender for Cloud Apps
角色更改 Azure 标识保护 Defender for Cloud Apps

可疑行为

攻击者正在下载敏感信息、加密文件,或以其他方式收集或破坏组织资产。

行为 信号源
恶意软件传播到多个设备 Defender for Endpoint
资源扫描 Defender for Endpoint、Defender for Identity
邮箱转发规则中的更改 Defender for Office 365
数据外泄和加密 Defender for Office 365

-*监视攻击者禁用安全性** - 这通常是人为操作的勒索软件 (HumOR) 攻击链的一部分

  • 事件日志清除 - 尤其是安全事件日志和 PowerShell 操作日志
  • 禁用与某些组关联的安全工具/控件 ()

使用 Microsoft Defender 门户检测勒索软件攻击

Microsoft Defender门户提供了一个集中视图,可查看有关检测、受影响的资产、采取的自动化操作和相关证据的信息,这些信息组合包括:

  • 事件队列,用于对攻击的相关警报进行分组,以提供完整的攻击范围、受影响的资产和自动修正操作。
  • 警报队列,其中列出了Microsoft Defender XDR跟踪的所有警报。

事件和警报源

Microsoft Defender门户集中来自:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps (包括应用治理加载项)
  • Microsoft Entra ID 保护
  • 适用于 IoT 的 Microsoft Defender

下表列出了Microsoft Defender XDR的一些典型攻击及其相应的信号源。

攻击和事件 信号源
云标识:密码喷射、多次尝试失败、尝试在短时间内登录到多台设备、多次首次登录、最近处于活动状态的用户帐户 Microsoft Entra ID 保护
本地标识 (AD DS) 泄露 Defender for Identity
网络钓鱼 Defender for Office 365
恶意应用 具有应用治理加载项的 Defender for Cloud Apps 或 Defender for Cloud Apps
终结点 (设备) 泄露 Defender for Endpoint
支持 IoT 的设备泄露 Defender for IoT

筛选勒索软件标识的事件

可以轻松筛选事件队列中已Microsoft Defender XDR归类为勒索软件的事件。

  1. 从Microsoft Defender门户导航窗格中,通过选择“事件和警报>事件”转到事件队列。
  2. 选择 “筛选器”。
  3. “类别”下,选择“ 勒索软件”,选择“ 应用”,然后关闭“ 筛选器 ”窗格。

事件队列的每个筛选器设置都会创建一个 URL,稍后可以保存该 URL 并作为链接进行访问。 只需单击一下鼠标,即可将这些 URL 加入书签或以其他方式保存和使用。 例如,可以为以下项创建书签:

  • 包含“勒索软件”类别的事件。 下面是相应的 链接
  • 具有已知执行勒索软件攻击的指定 执行组件 名称的事件。
  • 具有已知用于勒索软件攻击的指定 关联威胁 名称的事件。
  • 包含自定义标记的事件,SecOps 团队将其用于已知是更大且协调的勒索软件攻击的一部分的事件。

筛选勒索软件标识的威胁分析报告

与筛选事件队列中的事件类似,可以筛选包含勒索软件的报告的威胁分析报告。

  1. 在导航窗格中,选择“ 威胁分析”。
  2. 选择 “筛选器”。
  3. 在“ 威胁标记”下,选择“ 勒索软件”,选择“ 应用”,然后关闭“ 筛选器 ”窗格。

也可以单击此链接。

从许多威胁分析报告的 “检测详细信息 ”部分中,可以看到为威胁创建的警报名称列表。

Microsoft Defender XDR API

还可以使用 Microsoft Defender XDR API 查询租户中的Microsoft Defender XDR事件和警报数据。 自定义应用可以筛选数据,根据自定义设置对其进行筛选,然后提供指向警报和事件的链接的筛选列表,你可以轻松选择这些链接以直接转到该警报或事件。 请参阅在 Microsoft Defender XDR 中列出事件 API|Microsoft Docs。还可以将 SIEM 与Microsoft Defender集成,请参阅将 SIEM 工具与Microsoft Defender XDR集成

Microsoft Defender XDR Sentinel 集成

借助 Microsoft Sentinel Microsoft Defender XDR事件集成,可将所有Microsoft Defender XDR事件流式传输到 Microsoft Sentinel 中,并在两个门户之间保持同步。 事件包括所有关联的警报、实体和相关信息。 进入 Sentinel 后,事件将与Microsoft Defender XDR保持双向同步,从而在事件调查中利用这两个门户的优势。 请参阅Microsoft Defender XDR与 Microsoft Sentinel 集成

使用高级搜寻进行主动扫描

高级搜寻 是基于查询的威胁搜寻工具,可用于浏览和检查网络中的事件,以查找威胁指示器和实体。 这种灵活且可自定义的分析工具可以不受约束地搜寻已知威胁和潜在威胁。 Microsoft Defender XDR还支持使用自定义查询创建自定义检测规则,这些规则可以根据查询创建警报,并计划自动运行。

若要主动扫描勒索软件活动,应为标识、终结点、应用和数据常用的勒索软件攻击方法组合一个高级搜寻查询目录。 下面是随时可用的高级搜寻查询的一些关键来源:

自动搜寻

高级搜寻查询还可用于根据勒索软件攻击方法的已知元素创建自定义检测规则和操作, (例如,使用异常的 PowerShell 命令) 。 自定义检测规则创建可由安全分析师查看和解决的警报。

若要创建自定义检测规则,请从高级搜寻查询的页面中选择“Create自定义检测规则”。 创建后,可以指定:

  • 运行自定义检测规则的频率
  • 规则创建的警报的严重性
  • 创建的警报的 MITRE 攻击阶段
  • 受影响的实体
  • 要对受影响的实体执行的操作

准备 SecOps 团队进行重点勒索软件检测

准备 SecOps 团队进行主动勒索软件检测需要:

  • 为 SecOps 团队和组织准备工作
  • 根据需要进行安全分析师培训
  • 正在进行的操作工作,以整合安全分析师的最新攻击和检测体验

为 SecOps 团队和组织准备工作

请考虑以下步骤,让 SecOps 团队和组织准备好防范重点勒索软件攻击:

  1. 使用 快速部署勒索软件防护 - 阶段 3:难以获取 指南,配置 IT 和云基础结构以防范勒索软件。 本指南中的阶段和任务可以与以下步骤并行完成。
  2. 获取 Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps、应用治理加载项、Defender for IoT 和 Microsoft Entra ID 保护 服务的相应许可证。
  3. 组合针对已知勒索软件攻击方法或攻击阶段优化的高级搜寻查询目录。
  4. Create特定高级搜寻查询的自定义检测规则集,这些规则为已知的勒索软件攻击方法(包括其计划、警报命名和自动操作)创建警报。
  5. 确定自定义标记或标准集,以创建新 标记 或标准,以识别已知是更大、协调性勒索软件攻击的一部分的事件
  6. 确定勒索软件事件和警报管理的操作任务集。 例如:
    • 第 1 层分析师扫描传入事件和警报的过程,并分配给第 2 层分析师进行调查。
    • 手动运行高级搜寻查询及其计划, (每日、每周、每月) 。
    • 基于勒索软件攻击调查和缓解体验的持续更改。

安全分析师培训

根据需要,可为安全分析师提供以下相关内部培训:

  • 常见的勒索软件攻击链 (MITRE 攻击策略和常见的威胁技术和恶意软件)
  • 事件和警报,以及如何使用在Microsoft Defender门户中查找和分析它们:
    • Microsoft Defender XDR已创建的警报和事件
    • Microsoft Defender门户的基于 URL 的预扫描筛选器
    • 通过事件 API 以编程方式
  • 要使用的高级搜寻查询及其手动计划 (每日、每周、每月)
  • 要使用的自定义检测规则及其设置
  • 自定义事件标记
  • Microsoft Defender门户中勒索软件攻击的最新威胁分析报告

基于操作学习和新威胁的持续工作

作为 SecOps 团队持续工具和流程最佳做法和安全分析师体验的一部分,你应该:

  • 使用更新高级搜寻查询目录:
    • 基于 Microsoft Defender 门户或高级搜寻 GitHub 存储库中的最新威胁分析报告的新查询。
    • 对现有更改,以优化威胁识别或提高警报质量。
  • 根据新的或更改的高级搜寻查询更新自定义检测规则。
  • 更新用于勒索软件检测的操作任务集。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区