响应勒索软件攻击

注意

想要体验Microsoft Defender XDR？ 详细了解如何评估和试点Microsoft Defender XDR。

如果怀疑自己曾或当前受到勒索软件攻击，请立即与事件响应团队建立安全通信。 他们可以执行以下响应阶段来中断攻击并减轻损害：

• 调查和遏制
• 根除和恢复

本文提供了一个通用的 playbook，用于响应勒索软件攻击。 请考虑根据自己的安全操作 playbook 调整本文中所述的步骤和任务。 注意：有关防止勒索软件攻击的信息，请参阅 快速部署勒索软件防护。

遏制

遏制和调查应尽可能同时进行：但是，应专注于快速实现遏制，以便有更多的时间进行调查。 这些步骤可帮助你确定攻击范围，并将其隔离到受影响的实体，例如用户帐户和设备。

步骤 1：评估事件范围

运行此问题和任务列表，以发现攻击的程度。 Microsoft Defender XDR可以提供所有受影响资产或风险资产的综合视图，以帮助进行事件响应评估。 请参阅使用Microsoft Defender XDR的事件响应。 可以使用事件中的警报和证据列表来确定：

• 哪些用户帐户可能遭到入侵？
  • 哪些帐户用于传递有效负载？
• 哪些 已加入 和 发现 的设备会受到影响，如何？
  • 发起设备
  • 受影响的设备
  • 可疑设备
• 标识与事件关联的任何网络通信。
• 哪些应用程序受到影响？
• 传播了哪些有效负载？
• 攻击者如何与受攻击的设备通信？ 必须) 启用 (网络保护：
  • 如果) 了该信息，请转到 指示器页 ，为 IP 和 URL (添加块。
• 什么是有效负载传递媒体？

步骤 2：保留现有系统

运行此任务和问题列表，以保护现有系统免受攻击：

• 如果你有联机备份，请考虑断开备份系统与网络的连接，直到你确信攻击已得到遏制，请参阅备份和还原计划以防范勒索软件 |Microsoft Docs。
• 如果遇到或预期即将进行的活动勒索软件部署：
  • 暂停你怀疑属于攻击的特权帐户和本地帐户。 可以从Microsoft Defender门户中事件属性的“用户”选项卡执行此操作。
  • 停止所有 远程登录会话。
  • 重置泄露的用户帐户密码，并要求已泄露用户帐户的用户再次登录。
  • 对可能遭到入侵的用户帐户执行相同的操作。
  • 如果共享的本地帐户遭到入侵，请让 IT 管理员帮助你在所有公开的设备中强制实施密码更改。 示例 Kusto 查询：

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• 对于尚未隔离且不属于关键基础结构的设备：
  • 将受攻击的设备与网络隔离，但不要将其关闭。
  • 如果标识原始设备或传播器设备，请首先隔离这些设备。
• 保留受损系统以供分析。

步骤 3：防止传播

使用此列表可防止攻击蔓延到其他实体。

• 如果在攻击中使用共享本地帐户，请考虑 阻止远程使用本地帐户。
  • Kusto 查询属于本地管理员的所有网络登录：

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• 对于大多数网络) ，针对非 RDP 登录的 Kusto 查询 (更现实：

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• 隔离并添加受感染文件的指示器。
• 确保防病毒解决方案在其最佳保护状态下可配置。 对于Microsoft Defender防病毒，这包括：
  • 已启用实时保护。
  • 启用了篡改防护 。 在Microsoft Defender门户中，选择“设置>终结点>高级功能>防篡改”。
  • 已启用攻击面减少 规则。
  • 已启用云保护 。
• 禁用Exchange ActiveSync和OneDrive 同步。
  • 若要为邮箱禁用Exchange ActiveSync，请参阅如何为Exchange Online中的用户禁用Exchange ActiveSync。
  • 若要禁用对邮箱的其他类型的访问，请参阅：
    • 为邮箱启用或禁用 MAPI。
    • 启用或禁用用户的 POP3 或 IMAP4 访问。
  • 暂停OneDrive 同步有助于保护云数据不被可能受感染的设备更新。 有关详细信息，请参阅 如何在 OneDrive 中暂停和恢复同步。
• 在受影响的系统上应用相关的修补程序和配置更改。
• 使用内部和外部控制阻止勒索软件通信。
• 清除缓存的内容

调查

使用此部分可以调查攻击并规划响应。

评估当前情况

• 最初是什么让你意识到了勒索软件攻击？
  • 如果 IT 人员识别到初始威胁（例如，注意到正在删除的备份、防病毒警报、终结点检测和响应 (EDR) 警报或可疑系统更改），通常可以通过本文中所述的遏制操作快速果断地阻止攻击。
• 你第一次得知事件的日期和时间是什么？
  • 该日期未在设备上安装哪些系统和安全更新？ 这一点对于了解哪些漏洞可能已被利用，以便在其他设备上解决这些问题非常重要。
  • 该日期使用了哪些用户帐户？
  • 自该日期以来创建了哪些新用户帐户？
  • 添加了哪些程序以在事件发生时自动启动？
• 是否有任何迹象表明攻击者当前正在访问系统？
  • 是否有任何可疑的受损系统遇到异常活动？
  • 是否有任何可疑的被入侵帐户似乎被攻击者主动使用？
  • 是否有任何证据表明 EDR、防火墙、VPN、Web 代理和其他日志中的 C2) 服务器 (活动命令和控制？

识别勒索软件进程

• 使用 高级搜寻，在其他设备上的进程创建事件中搜索标识的进程。

在受感染的设备中查找公开的凭据

• 对于凭据可能泄露的用户帐户，请重置帐户密码，并要求用户再次登录。
• 以下 IOA 可能指示横向移动：

单击展开

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Mimikatz Defender 放大器
• PARINACOTA 使用的网络扫描工具
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• 进程访问 Lsass
• 可疑的 Rundll32 进程执行
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlet
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• odbcconf 的可疑 DLL 注册
• 可疑 DPAPI 活动
• 可疑的 Exchange 进程执行
• 可疑的计划任务启动
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• 不受信任的应用程序打开 RDP 连接

确定由于事件而不可用 (LOB) 应用的业务线

• 应用是否需要标识？
  • 身份验证是如何执行的？
  • 如何存储和管理证书或机密等凭据？
• 应用程序的评估备份、其配置及其数据是否可用？
• 确定入侵恢复过程。

根除和恢复

使用这些步骤消除威胁并恢复损坏的资源。

步骤 1：验证备份

如果有脱机备份，则在从环境中删除勒索软件有效负载 (恶意软件) 后，以及验证 Microsoft 365 租户中没有未经授权的访问后，可以还原已加密的数据。

步骤 2：添加指示器

将任何已知的攻击者信道添加为指示器，在防火墙、代理服务器和终结点上被阻止。

步骤 3：重置受攻击的用户

重置任何已知已泄露用户帐户的密码，并需要新的登录。

• 请考虑为具有广泛管理权限的任何特权帐户（例如域管理员组的成员）重置密码。
• 如果某个用户帐户可能是由攻击者创建的，请禁用该帐户。 除非没有针对事件执行安全取证的计划，否则不要删除该帐户。

步骤 4：隔离攻击者控制点

将企业内部的任何已知攻击者控制点与 Internet 隔离开来。

步骤 5：删除恶意软件

从受影响的设备中删除恶意软件。

• 在所有可疑的计算机和设备上运行最新的完整防病毒扫描，以检测和删除与勒索软件关联的有效负载。
• 不要忘记扫描同步数据的设备或映射的网络驱动器的目标。

步骤 6：恢复已清理设备上的文件

恢复已清理设备上的文件。

• 你可以使用 Windows 7 中的Windows 11、Windows 10、Windows 8.1和系统保护中的文件历史记录来尝试恢复本地文件和文件夹。

步骤 7：恢复OneDrive for Business中的文件

恢复OneDrive for Business中的文件。

• 文件 还原 OneDrive for Business 允许将整个 OneDrive 还原到过去 30 天内的上一个时间点。 有关详细信息，请参阅“还原你的 OneDrive”。

步骤 8：恢复已删除的电子邮件

恢复已删除的电子邮件。

• 在勒索软件删除邮箱中所有电子邮件的极少数情况下，你可以恢复已删除的项目。 请参阅在 Exchange Online 中恢复用户邮箱中的已删除邮件。

步骤 9：重新启用Exchange ActiveSync和OneDrive 同步

• 清理计算机和设备并恢复数据后，可以重新启用之前在包含步骤 3 中禁用的Exchange ActiveSync和OneDrive 同步。

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。