Microsoft DART 勒索软件方法和最佳做法

人为操作的勒索软件 不是恶意软件问题 - 它是一个人类犯罪问题。 用于解决商品问题的解决方案不足以防止更类似于民族国家威胁参与者的威胁：

• 在加密文件之前禁用或卸载防病毒软件
• 禁用安全服务和日志记录以避免检测
• 在发送赎金要求之前查找并损坏或删除备份

这些操作通常使用环境中可能已有的合法程序进行管理。 在犯罪分子手中，这些工具被恶意用于执行攻击。

要应对日益严重的勒索软件威胁，需要结合新式企业配置、最新的安全产品，以及训练有素的安全人员保持警惕，在数据丢失之前检测和响应威胁。

Microsoft 检测和响应团队 (DART) 响应安全威胁，帮助客户实现网络复原能力。 DART 提供现场反应事件响应和远程主动调查。 DART 利用 Microsoft 与全球安全组织和内部 Microsoft 产品组的战略合作关系，尽可能提供最完整、最彻底的调查。

本文介绍 DART 如何处理 Microsoft 客户的勒索软件攻击，以便你可以考虑对其方法和最佳做法的元素应用自己的安全操作 playbook。

有关详细信息，请参阅以下部分：

• DART 如何使用 Microsoft 安全服务
• 用于执行勒索软件事件调查的 DART 方法
• DART 建议和最佳做法

注意

本文内容派生自对抗人为勒索软件的 A 指南：第 1 部分和打击人为勒索软件指南：第 2 部分 Microsoft 安全团队博客文章。

DART 如何使用 Microsoft 安全服务

DART 严重依赖数据进行所有调查，并使用 Microsoft 安全服务的现有部署，例如Microsoft Defender for Office 365、Microsoft Defender for Endpoint、 Microsoft Defender for Identity和Microsoft Defender for Cloud Apps。

Defender for Endpoint

Defender for Endpoint 是 Microsoft 的企业终结点安全平台，旨在帮助企业网络安全分析师预防、检测、调查和响应高级威胁。 Defender for Endpoint 可以使用高级行为分析和机器学习来检测攻击。 分析人员可以使用 Defender for Endpoint 进行攻击者行为分析。

下面是Microsoft Defender for Endpoint中针对传递票证攻击的警报示例。

分析人员还可以执行高级搜寻查询，以透视 (IOC) 入侵指标，或者搜索已知行为（如果他们识别了威胁参与者组）。

下面是一个示例，说明如何使用高级搜寻查询来查找已知的攻击者行为。

在 Defender for Endpoint 中，可以通过Microsoft 威胁专家来访问实时专家级别的监视和分析服务，以用于持续可疑执行组件活动。 还可以按需与专家协作，获取警报和事件的其他见解。

下面是 Defender for Endpoint 如何显示详细的勒索软件活动的示例。

Defender for Identity

使用 Defender for Identity 调查已知已泄露的帐户，并查找组织中可能遭到入侵的帐户。 Defender for Identity 针对参与者经常使用的已知恶意活动（例如 DCSync 攻击、远程代码执行尝试和传递哈希攻击）发送警报。 Defender for Identity 使你能够查明可疑活动和帐户，以缩小调查范围。

下面是 Defender for Identity 如何针对与勒索软件攻击相关的已知恶意活动发送警报的示例。

Defender for Cloud Apps

Defender for Cloud Apps (以前称为 Microsoft Defender for Cloud Apps) 允许分析师检测跨云应用的异常行为，以识别勒索软件、被入侵的用户或恶意应用程序。 Defender for Cloud Apps 是 Microsoft 的云访问安全代理， (CASB) 解决方案，用于监视云服务以及用户对云服务中的数据访问。

下面是 Defender for Cloud Apps 仪表板的示例，该仪表板允许分析跨云应用检测异常行为。

Microsoft 安全功能分数

Microsoft 365 Defender服务集提供实时修正建议，以减少攻击面。 Microsoft 安全功能分数是组织安全状况的度量值，其数字越高，表示已采取更多改进措施。 请参阅 安全功能分数 文档，详细了解组织如何利用此功能来确定基于其环境的修正操作的优先级。

用于执行勒索软件事件调查的 DART 方法

应尽一切努力确定攻击者如何获得对资产的访问权限，以便修正漏洞。 否则，将来很可能再次发生同一类型的攻击。 在某些情况下，威胁参与者会采取措施来掩盖其踪迹并销毁证据，因此整个事件链可能并不明显。

以下是 DART 勒索软件调查中的三个关键步骤：

步骤	目标	初始问题
1. 评估当前情况	了解范围	最初是什么让你注意到勒索软件攻击？ 你第一次得知该事件的时间/日期是什么？ 有哪些日志可用，是否有迹象表明执行组件当前正在访问系统？
2. 确定受影响的业务线 (LOB) 应用	使系统重新联机	应用程序是否需要标识？ 应用程序、配置和数据备份是否可用？ 是否使用还原练习定期验证备份的内容和完整性？
3. 确定 CR) 过程 (入侵恢复	从环境中删除攻击者控制	空值

步骤 1。 评估当前情况

对当前形势的评估对于了解事件的范围以及确定协助的最佳人员以及规划和确定调查和修正任务的范围至关重要。 提出以下初始问题对于帮助确定情况至关重要。

最初是什么让你注意到勒索软件攻击？

如果 IT 人员识别到初始威胁（例如，注意到正在删除的备份、防病毒警报、终结点检测和响应 (EDR) 警报或可疑的系统更改），通常可以通过禁用所有入站和出站 Internet 通信来快速果断地阻止攻击。 这可能会暂时影响业务运营，但这通常比部署勒索软件的对手影响要小得多。

如果用户调用 IT 支持人员来识别威胁，则可能有足够的提前警告来采取防御措施，以防止或尽量减少攻击的影响。 如果威胁是由外部实体（如执法部门或金融机构) ） (识别的，则可能是损害已经完成，并且你将在环境中看到威胁参与者已获得网络管理控制的证据。 这可以是勒索软件笔记、锁定的屏幕或赎金要求。

你第一次得知事件的日期/时间是什么？

建立初始活动日期和时间非常重要，因为它有助于缩小初始会审的范围，以便攻击者快速获胜。 其他问题可能包括：

• 该日期缺少哪些更新？ 这对于了解攻击者可能利用的漏洞非常重要。
• 该日期使用了哪些帐户？
• 自该日期以来已创建哪些新帐户？

有哪些日志可用，是否有迹象表明执行组件当前正在访问系统？

日志（例如防病毒、EDR 和虚拟专用网络 (VPN) ）是可疑入侵的指示器。 后续问题可能包括：

• 日志是否聚合在安全信息和事件管理 (SIEM) 解决方案（例如 Microsoft Sentinel、Splunk、ArcSight 等）中？ 此数据的保留期是多长？
• 是否有任何可疑的受入侵系统遇到异常活动？
• 是否有任何可疑的被入侵的帐户似乎被攻击者主动使用？
• EDR、防火墙、VPN、Web 代理和其他日志中是否有 (C2) 活动命令和控制的证据？

在评估当前情况时，可能需要Active Directory 域服务 (AD DS) 未遭入侵的域控制器、域控制器的最近备份或最近脱机的域控制器进行维护或升级。 此外，确定公司中的每个人是否需要 多重身份验证 (MFA) ，以及是否使用了 Azure Active Directory (Azure AD) 。

步骤 2. 确定由于事件而不可用的 LOB 应用

此步骤对于找出在获取所需证据的同时使系统重新联机的最快方法至关重要。

应用程序是否需要标识？

• 如何执行身份验证？
• 如何存储和管理证书或机密等凭据？

应用程序、配置和数据的测试备份是否可用？

• 是否使用还原练习定期验证备份的内容和完整性？ 在配置管理更改或版本升级后，这一点尤为重要。

步骤 3. 确定入侵恢复过程

如果已确定控制平面（通常是 AD DS）已遭入侵，则可能需要执行此步骤。

调查的目标应始终是提供直接馈送到 CR 过程的输出。 CR 是一个过程，它从环境中删除攻击者的控制，并在设定的时间段内从战术上提高安全状况。 CR 发生在安全漏洞后。 若要了解有关 CR 的详细信息，请阅读 Microsoft Compromise Recovery 安全实践团队的 CRSP：紧急团队应对客户旁边的网络攻击博客文章。

收集上述问题的答案后，可以生成任务列表并分配所有者。 成功事件响应参与的一个关键因素是每个工作项 (（如所有者、状态、结果、日期和时间) ）的详尽详细文档，使参与结束时的调查结果的汇编成为一个直接的过程。

DART 建议和最佳做法

以下是 DART 针对遏制和事后活动的建议和最佳做法。

Containment

只有在分析确定需要包含的内容后，才能进行遏制。 对于勒索软件，攻击者的目标是获取允许对高可用性服务器进行管理控制的凭据，然后部署勒索软件。 在某些情况下，威胁参与者会识别敏感数据并将其外泄到他们控制的位置。

战术恢复对于组织的环境、行业和 IT 专业知识和经验水平而言是独一无二的。 建议将下面概述的步骤用于组织可以采取的短期和战术遏制步骤。 若要详细了解长期指导，请参阅 保护特权访问。 有关勒索软件和敲诈勒索以及如何准备和保护组织的综合视图，请参阅 人工操作的勒索软件。

在发现新的威胁向量时，可以同时执行以下遏制步骤。

步骤 1：评估情况的范围

• 哪些用户帐户遭到入侵？
• 哪些设备受到影响？
• 哪些应用程序受到影响？

步骤 2：保留现有系统

• 禁用所有特权用户帐户，但管理员使用的少数帐户除外，以帮助重置 AD DS 基础结构的完整性。 如果用户帐户被认为遭到入侵，请立即禁用它。
• 将受攻击的系统与网络隔离，但不要将其关闭。
• 在每个域 2 中隔离至少一个已知良好的域控制器甚至更好。 断开它们与网络的连接，或将其完全关闭。 此处的目的是阻止勒索软件传播到关键系统-标识是最易受攻击的。 如果所有域控制器都是虚拟的，请确保虚拟化平台的系统和数据驱动器备份到未连接到网络的脱机外部媒体，以防虚拟化平台本身受到威胁。
• 隔离关键的已知良好的应用程序服务器，例如 SAP、配置管理数据库 (CMDB) 、计费和记帐系统。

当发现新的威胁向量时，可以同时执行这两个步骤。 禁用这些威胁向量，然后尝试查找一个已知良好的系统以与网络隔离。

其他战术遏制操作可能包括：

• 快速连续重置 krbtgt 密码两次。 请考虑使用 脚本化、可重复的过程。 此脚本使你能够重置 krbtgt 帐户密码和相关密钥，同时最大程度地降低操作导致 Kerberos 身份验证问题的可能性。 为了尽量减少潜在问题，可以在第一次密码重置之前将 krbtgt 生存期缩短一次或多次，以便快速完成两次重置。 请注意，计划保留在环境中的所有域控制器都必须处于联机状态。

• 将组策略部署到整个域 () ，防止域管理员 () 域控制器和仅特权管理工作站) 特权登录 (（如果有任何) ）。

• 为操作系统和应用程序安装所有缺失的安全更新。 每个缺失的更新都是攻击者可以快速识别和利用的潜在威胁途径。 Microsoft Defender for Endpoint的威胁和漏洞管理提供了一种简单的方法来准确查看缺少的内容以及缺失更新的潜在影响。

  • 对于Windows 10 (或更高版本) 设备，请确认当前版本 (或 n-1) 是否在每个设备上运行。

  • (ASR) 规则部署攻击面减少以防止恶意软件感染。

  • 启用所有Windows 10安全功能。

• 检查每个面向外部的应用程序（包括 VPN 访问）是否都受多重身份验证的保护，最好是使用在安全设备上运行的身份验证应用程序。

• 对于未使用 Defender for Endpoint 作为主要防病毒软件的设备，请在隔离的已知良好系统上运行Microsoft 安全扫描程序完全扫描，然后再将其重新连接到网络。

• 对于任何旧操作系统，请升级到受支持的 OS 或停用这些设备。 如果这些选项不可用，请采取一切可能的措施来隔离这些设备，包括网络/VLAN 隔离、Internet 协议安全 (IPsec) 规则和登录限制，因此只有用户/设备才能访问它们以提供业务连续性。

风险最大的配置包括在旧版操作系统（如 Windows NT 4.0）上运行任务关键型系统和应用程序（全部在旧硬件上运行）。 这些操作系统和应用程序不仅不安全且易受攻击，如果该硬件发生故障，通常无法在新式硬件上还原备份。 除非更换旧硬件可用，否则这些应用程序将停止工作。 强烈建议考虑将这些应用程序转换为在当前操作系统和硬件上运行。

事后活动

DART 建议在每个事件后实施以下安全建议和最佳做法。

• 确保 为电子邮件和协作解决方案 制定最佳做法，使攻击者更难滥用它们，同时允许内部用户轻松安全地访问外部内容。

• 遵循对内部组织资源的远程访问解决方案零信任安全最佳做法。

• 从关键影响管理员开始，请遵循帐户安全的最佳做法，包括使用 无密码身份验证 或 MFA。

• 实施综合策略以降低特权访问泄露的风险。

  • 对于云和林/域管理访问，请使用 Microsoft 的 特权访问模型 (PAM) 。

  • 对于终结点管理，请使用 本地管理密码解决方案 (LAPS) 。

• 实施数据保护以阻止勒索软件技术，并确认从攻击中快速可靠地恢复。

• 查看关键系统。 检查针对故意攻击者擦除或加密的保护和备份。 定期测试和验证这些备份非常重要。

• 确保快速检测和修正对终结点、电子邮件和标识的常见攻击。

• 积极发现并持续改善环境的安全状况。

• 更新组织流程以管理重大勒索软件事件并简化外包以避免摩擦。

PAM

使用 PAM (以前称为分层管理模型) 可增强 Azure AD 的安全状况。 这涉及：

• 在“计划”环境中分解管理帐户 - 每个级别有一个帐户，通常为四个：

• 控制平面 (以前为第 0 层) ：管理域控制器和其他关键标识服务，例如Active Directory 联合身份验证服务 (ADFS) 或 Azure AD Connect。 这还包括需要 AD DS 管理权限的服务器应用程序，例如Exchange Server。

• 接下来的两架飞机以前是第 1 层：

  • 管理平面：资产管理、监视和安全性。

  • 数据/工作负载平面：应用程序和应用程序服务器。

• 接下来的两架飞机以前是第 2 层：

  • 用户访问：) 帐户等用户 (的访问权限。

  • 应用访问权限：应用程序的访问权限。

• 这些平面中的每一个都将 为每个平面提供单独的管理工作站 ，并且只能访问该平面中的系统。 通过设置为这些计算机的用户权限分配，其他平面中的其他帐户将被拒绝访问其他平面中的工作站和服务器。

PAM 的净结果是：

• 泄露的用户帐户将仅有权访问其所属的平面。

• 更敏感的用户帐户不会登录到具有较低平面安全级别的工作站和服务器，从而减少横向移动。

圈

默认情况下，Microsoft Windows 和 AD DS 对工作站和成员服务器上的本地管理帐户没有集中管理。 这通常会导致为所有这些本地帐户（或至少在计算机组中）提供通用密码。 这使攻击者能够入侵一个本地管理员帐户，然后使用该帐户访问组织中的其他工作站或服务器。

Microsoft 的 LAPS 通过使用组策略客户端扩展来缓解此问题，该扩展根据策略集在工作站和服务器上定期更改本地管理密码。 其中每个密码都不同，并作为属性存储在 AD DS 计算机对象中。 可以从简单的客户端应用程序检索此属性，具体取决于分配给该属性的权限。

LAPS 要求扩展 AD DS 架构以允许安装附加属性、LAPS 组策略模板，以及在每个工作站和成员服务器上安装一个小型客户端扩展，以提供客户端功能。

可以从 Microsoft 下载中心获取 LAPS。

其他勒索软件资源

Microsoft 提供的重要信息：

• 日益严重的勒索软件威胁，Microsoft On the Issues 博客文章，2021 年 7 月 20 日
• 人为操作的勒索软件
• 快速防范勒索软件和敲诈勒索
• 2021 Microsoft 数字防御报告（请参阅第 10-19 页）
• 勒索软件：Microsoft 365 Defender门户中普遍存在的持续威胁分析报告
• Microsoft DART 勒索软件案例研究

Microsoft 365：

• 为 Microsoft 365 租户部署勒索软件防护
• 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
• 从勒索软件攻击中恢复
• 恶意软件和勒索软件防护
• 保护 Windows 10 电脑，使其免受勒索软件侵害
• SharePoint Online 中的勒索软件
• Microsoft 365 Defender门户中勒索软件的威胁分析报告

Microsoft 365 Defender：

• 通过高级搜寻找到勒索软件

Microsoft Azure：

• Azure 针对勒索软件攻击的防御措施
• 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
• 旨在防范勒索软件的备份和还原计划
• 使用 Microsoft Azure 备份 (26 分钟的视频) 帮助防范勒索软件
• 从系统标识泄露中恢复
• Microsoft Sentinel 中的高级多阶段攻击检测
• Microsoft Sentinel 中勒索软件的融合检测

Microsoft Defender for Cloud Apps：

• 在 Defender for Cloud Apps 中创建异常情况检测策略

Microsoft 安全团队博客文章：

• 防范勒索软件并从中恢复的 3 个步骤（2021 年 9 月）

• 打击人为操作勒索软件的指南：第 1 部分 (2021 年 9 月)

  有关 Microsoft DART 如何进行勒索软件事件调查的关键步骤。

• 打击人为操作勒索软件的指南：第 2 部分 (2021 年 9 月)

  建议和最佳做法。

• 通过了解网络安全风险来增强复原能力：第 4 部分 - (2021 年 5 月 ()

  请参阅“勒索软件”部分。

• 人为操作的勒索软件攻击：可预防的灾难（2020 年 3 月）

  包括对实际攻击的攻击链分析。

• 勒索软件响应 - 支付还是不支付？ （2019 年 12 月）

• Norsk Hydro 以透明方式响应勒索软件攻击（2019 年 12 月）