Microsoft DART 勒索软件方法和最佳做法

人为操作的勒索软件 不是恶意软件问题 , 它是一个人为的犯罪问题。 用于解决商品问题的解决方案不足以防止更类似于民族国家威胁参与者的威胁:

  • 在加密文件之前禁用或卸载防病毒软件
  • 禁用安全服务和日志记录以避免检测
  • 在发送赎金要求之前查找并损坏或删除备份

这些操作通常是使用环境中可能已有的合法程序来完成的,用于管理目的。 在犯罪分子手中,这些工具被恶意用于实施攻击。

应对日益严重的勒索软件威胁需要将新式企业配置、最新的安全产品以及经过培训的安全人员保持警惕,以在数据丢失之前检测和响应威胁。

Microsoft 检测和响应团队 (DART) 响应安全威胁,帮助客户提高网络复原能力。 DART 提供现场反应事件响应和远程主动调查。 DART 利用 Microsoft 与全球安全组织和内部 Microsoft 产品组的战略合作伙伴关系,尽可能提供最完整、最彻底的调查。

本文介绍 DART 如何处理 Microsoft 客户的勒索软件攻击,以便你可以考虑将他们的方法和最佳做法的元素应用于你自己的安全操作 playbook。

有关详细信息,请参阅以下部分:

注意

本文内容派生自 打击人为操作勒索软件指南:第 1 部分打击人为操作勒索软件指南:第 2 部分 Microsoft 安全团队博客文章。

DART 如何使用 Microsoft 安全服务

DART 严重依赖数据进行所有调查,并使用 Microsoft 安全服务的现有部署,例如Microsoft Defender for Office 365Microsoft Defender for EndpointMicrosoft Defender for IdentityMicrosoft Defender for Cloud Apps

Defender for Endpoint

Defender for Endpoint 是 Microsoft 的企业终结点安全平台,旨在帮助企业网络安全分析师预防、检测、调查和响应高级威胁。 Defender for Endpoint 可以使用高级行为分析和机器学习来检测攻击。 分析人员可以使用 Defender for Endpoint 进行攻击者行为分析。

下面是Microsoft Defender for Endpoint中针对传递票证攻击的警报示例。

Microsoft Defender for Endpoint中针对传递票证攻击的警报示例

分析师还可以执行高级搜寻查询,以透视 (IOC) 或搜索已知行为(如果他们识别到威胁参与者组)的入侵指标。

以下示例演示如何使用高级搜寻查询来查找已知的攻击者行为。

高级搜寻查询的示例。

在 Defender for Endpoint 中,可以通过Microsoft 威胁专家来访问实时专家级监视和分析服务,以用于正在进行的可疑参与者活动。 还可以按需与专家协作,以进一步深入了解警报和事件。

下面是 Defender for Endpoint 如何显示详细的勒索软件活动的示例。

Defender for Endpoint 如何显示详细的勒索软件活动的示例。

Defender for Identity

使用 Defender for Identity 调查已知的已泄露帐户,并查找组织中可能遭到入侵的帐户。 Defender for Identity 针对参与者经常使用的已知恶意活动(例如 DCSync 攻击、远程代码执行尝试和传递哈希攻击)发送警报。 使用 Defender for Identity 可以查明可疑活动和帐户,以缩小调查范围。

下面是 Defender for Identity 如何针对与勒索软件攻击相关的已知恶意活动发送警报的示例。

Defender for Identity 如何发送勒索软件攻击警报的示例

Defender for Cloud Apps

Defender for Cloud Apps (以前称为Microsoft Defender for Cloud Apps) ,可让分析师检测云应用中的异常行为,以识别勒索软件、遭到入侵的用户或恶意应用程序。 Defender for Cloud Apps 是 Microsoft 的云访问安全代理 (CASB) 解决方案,允许监视云服务以及用户对云服务中的数据访问。

下面是 Defender for Cloud Apps 仪表板的示例,它允许分析检测云应用中的异常行为。

Defender for Cloud Apps 仪表板的示例。

Microsoft 安全功能分数

Microsoft 365 Defender服务集提供实时修正建议,以减少攻击面。 Microsoft 安全功能分数是组织安全状况的度量值,其数字越大,表明已采取更多改进措施。 请参阅 安全功能分数 文档,详细了解组织如何利用此功能确定基于其环境的修正操作的优先级。

用于执行勒索软件事件调查的 DART 方法

应尽一切努力确定攻击者如何获得对资产的访问权限,以便可以修正漏洞。 否则,将来很可能再次发生同一类型的攻击。 在某些情况下,威胁参与者会采取措施来掩盖其踪迹并销毁证据,因此整个事件链可能不明显。

以下是 DART 勒索软件调查中的三个关键步骤:

步骤 目标 初始问题
1. 评估当前情况 了解范围 最初是什么让你意识到勒索软件攻击?

你第一次知道该事件的时间/日期是什么?

哪些日志可用,是否有任何指示参与者当前正在访问系统?
2. 确定受影响的业务线 (LOB) 应用 使系统重新联机 应用程序是否需要标识?

应用程序、配置和数据备份是否可用?

是否使用还原练习定期验证备份的内容和完整性?
3. 确定 CR) 过程 (入侵恢复 从环境中删除攻击者控制 空值

步骤 1。 评估当前情况

对当前形势的评估对于了解事件的范围以及确定协助的最佳人员以及规划和确定调查和补救任务的范围至关重要。 提出以下初始问题对于帮助确定情况至关重要。

最初是什么让你意识到了勒索软件攻击?

如果 IT 人员识别出初始威胁(例如注意到备份被删除、防病毒警报、终结点检测和响应 (EDR) 警报或可疑系统更改),通常可以通过禁用所有入站和出站 Internet 通信来快速采取果断措施来阻止攻击。 这可能会暂时影响业务运营,但这通常比部署勒索软件的对手的影响要小得多。

如果威胁是由用户调用 IT 支持人员识别的,则可能有足够的提前警告来采取防御措施,以防止或尽量减少攻击的影响。 如果威胁是由外部实体(如执法部门或金融机构) ) (识别的,则损害可能已经造成,并且你将在你的环境中看到威胁参与者已获得网络管理控制的证据。 这可以是勒索软件笔记、锁定的屏幕或赎金要求。

你第一次知道该事件的日期/时间是什么?

建立初始活动日期和时间非常重要,因为它有助于缩小初始会审的范围,以便攻击者快速获胜。 其他问题可能包括:

  • 该日期缺少哪些更新? 这一点对于了解攻击者可能利用了哪些漏洞非常重要。
  • 该日期使用了哪些帐户?
  • 自该日期以来创建了哪些新帐户?

有哪些日志可用,是否有任何指示参与者当前正在访问系统?

日志(如防病毒、EDR 和虚拟专用网络 (VPN) )是可疑入侵的指标。 后续问题可能包括:

  • 是否在安全信息和事件管理 (SIEM) 解决方案(如 Microsoft Sentinel、Splunk、ArcSight 等)和当前解决方案中聚合日志? 此数据的保留期是多长?
  • 是否有任何可疑的受入侵系统遇到异常活动?
  • 是否有任何可疑的被入侵帐户似乎被攻击者主动使用?
  • 是否有任何证据表明在 EDR、防火墙、VPN、Web 代理和其他日志中 (C2s) 活动命令和控制?

在评估当前情况时,可能需要一个Active Directory 域服务 (AD DS) 未泄露的域控制器、域控制器的最新备份,或者最近脱机进行维护或升级的域控制器。 此外,确定公司中的每个人是否需要 多重身份验证 (MFA) ,以及是否使用了 Azure Active Directory (Azure AD)

步骤 2. 确定由于事件而不可用的 LOB 应用

此步骤对于找出在获取所需证据的同时使系统重新联机的最快方法至关重要。

应用程序是否需要标识?

  • 如何执行身份验证?
  • 如何存储和管理证书或机密等凭据?

应用程序、配置和数据的测试备份是否可用?

  • 是否使用还原练习定期验证备份的内容和完整性? 在配置管理更改或版本升级后,这一点尤其重要。

步骤 3. 确定入侵恢复过程

如果已确定控制平面(通常为 AD DS)已泄露,则可能需要执行此步骤。

调查应始终以提供直接馈送到 CR 过程的输出为目标。 CR 是一个过程,它从环境中删除攻击者的控制,并在设定的时间段内从战术上提高安全态势。 CR 发生在安全漏洞后。 若要了解有关 CR 的详细信息,请阅读 Microsoft Compromise Recovery 安全实践团队的 CRSP:除客户之外应对网络攻击的紧急团队 博客文章。

收集上述问题的答案后,可以生成任务列表并分配所有者。 成功事件响应参与的一个关键因素是每个工作项 ((如所有者、状态、发现结果、日期和时间) )的完整详细文档,使参与结束时的调查结果的汇编成为一个直接的过程。

DART 建议和最佳做法

以下是 DART 针对遏制和事件后活动的建议和最佳做法。

Containment

只有在分析确定需要包含的内容后,才会发生包含。 对于勒索软件,攻击者的目标是获取允许对高可用性服务器进行管理控制的凭据,然后部署勒索软件。 在某些情况下,威胁参与者识别敏感数据并将其泄露到他们控制的位置。

战术恢复对于组织的环境、行业以及 IT 专业知识和经验水平而言是独一无二的。 对于组织可以采取的短期和战术遏制步骤,建议使用下面概述的步骤。 若要详细了解如何获取长期指导,请参阅 保护特权访问。 有关勒索软件和敲诈勒索以及如何准备和保护组织的综合视图,请参阅 人为操作的勒索软件

发现新的威胁向量时,可以同时执行以下包含步骤。

步骤 1:评估情况的范围

  • 哪些用户帐户遭到入侵?
  • 哪些设备受到影响?
  • 哪些应用程序受到影响?

步骤 2:保留现有系统

  • 禁用所有特权用户帐户,但管理员使用的少数帐户除外,以帮助重置 AD DS 基础结构的完整性。 如果用户帐户被认为已泄露,请立即禁用它。
  • 将受攻击的系统与网络隔离,但不要将其关闭。
  • 在每个域 2 中隔离至少一个已知良好的域控制器甚至更好。 请将其与网络断开连接,或将其完全关闭。 此处的目的是阻止勒索软件传播到关键系统-标识是最易受攻击的系统之一。 如果所有域控制器都是虚拟的,请确保虚拟化平台的系统和数据驱动器已备份到未连接到网络的脱机外部媒体,以防虚拟化平台本身受到威胁。
  • 隔离关键的已知良好应用程序服务器,例如 SAP、配置管理数据库 (CMDB) 、计费和会计系统。

发现新的威胁向量时,可以同时执行这两个步骤。 禁用这些威胁向量,然后尝试查找已知良好的系统以与网络隔离。

其他战术遏制操作可能包括:

  • 快速连续两次重置 krbtgt 密码。 请考虑使用 脚本化、可重复的过程。 此脚本使你能够重置 krbtgt 帐户密码和相关密钥,同时最大程度地降低操作导致 Kerberos 身份验证问题的可能性。 为了尽量减少潜在问题,可以在第一次密码重置之前将 krbtgt 生存期缩短一次或多次,以便快速完成两次重置。 请注意,计划保留在环境中的所有域控制器都必须处于联机状态。

  • 将组策略部署到整个域 () ,以防止特权登录 (域管理员) 域控制器和仅特权管理工作站 ((如果有任何) )。

  • 为操作系统和应用程序安装所有缺少的安全更新。 每个缺失的更新都是攻击者可以快速识别和利用的潜在威胁向量。 Microsoft Defender for Endpoint的威胁和漏洞管理提供了一种简单的方法来准确查看缺少的内容以及缺失更新的潜在影响。

  • 检查每个面向外部的应用程序(包括 VPN 访问)是否都受到多重身份验证的保护,最好使用在安全设备上运行的身份验证应用程序。

  • 对于未使用 Defender for Endpoint 作为主要防病毒软件的设备,请在隔离的已知良好系统上运行Microsoft 安全扫描程序进行完全扫描,然后再将其重新连接到网络。

  • 对于任何旧操作系统,请升级到受支持的 OS 或解除这些设备的授权。 如果这些选项不可用,请采取一切可能的措施来隔离这些设备,包括网络/VLAN 隔离、Internet 协议安全 (IPsec) 规则和登录限制,以便只有用户/设备才能访问应用程序来提供业务连续性。

风险最大的配置包括在旧版操作系统(如 Windows NT 4.0)上运行任务关键型系统,以及所有在旧硬件上运行的应用程序。 不仅这些操作系统和应用程序不安全且易受攻击,如果该硬件发生故障,备份通常无法在新式硬件上还原。 除非更换旧硬件可用,否则这些应用程序将停止运行。 强烈建议考虑将这些应用程序转换为在当前操作系统和硬件上运行。

事后活动

DART 建议在每个事件后实施以下安全建议和最佳做法。

  • 确保为 电子邮件和协作解决方案 制定最佳做法,使攻击者更难滥用它们,同时允许内部用户轻松安全地访问外部内容。

  • 遵循零信任对内部组织资源进行远程访问解决方案的安全最佳做法。

  • 从严重影响管理员开始,请遵循帐户安全的最佳做法,包括使用 无密码身份验证 或 MFA。

  • 实施全面的策略,以降低特权访问泄露的风险。

  • 实施数据保护以阻止勒索软件技术,并确认从攻击中快速可靠地恢复。

  • 查看关键系统。 检查针对故意的攻击者擦除或加密的保护和备份。 请务必定期测试和验证这些备份。

  • 确保快速检测和修正终结点、电子邮件和标识上的常见攻击。

  • 积极发现并持续改善环境的安全状况。

  • 更新组织流程以管理主要勒索软件事件并简化外包以避免摩擦。

PAM

使用 PAM (以前称为分层管理模型) 可增强 Azure AD 的安全状况。 这涉及:

  • 在“计划”环境中分解管理帐户 - 每个级别都有一个帐户,通常为四个:

  • 控制平面 (以前的第 0 层) :管理域控制器和其他关键标识服务,例如Active Directory 联合身份验证服务 (ADFS) 或 Azure AD Connect。 这还包括需要 AD DS 管理权限的服务器应用程序,例如Exchange Server。

  • 接下来的两架飞机以前是第 1 层:

    • 管理平面:资产管理、监视和安全性。

    • 数据/工作负载平面:应用程序和应用程序服务器。

  • 接下来的两架飞机以前是第 2 层:

    • 用户访问:用户 (的访问权限,例如帐户) 。

    • 应用访问:应用程序的访问权限。

  • 这些平面中的每一个都将 为每个平面提供单独的管理工作站 ,并且只能访问该平面中的系统。 通过设置为这些计算机的用户权限分配,来自其他平面的其他帐户将被拒绝访问其他平面中的工作站和服务器。

PAM 的净结果是:

  • 遭到入侵的用户帐户将仅有权访问其所属的平面。

  • 更敏感的用户帐户不会登录到具有较低平面安全级别的工作站和服务器,从而减少横向移动。

LAPS

默认情况下,Microsoft Windows 和 AD DS 不集中管理工作站和成员服务器上的本地管理帐户。 这通常会导致为所有这些本地帐户提供公用密码,或者至少在计算机组中提供密码。 这使攻击者能够入侵一个本地管理员帐户,然后使用该帐户访问组织中的其他工作站或服务器。

Microsoft 的 LAPS 通过使用组策略客户端扩展来缓解此问题,该扩展根据策略集定期在工作站和服务器上更改本地管理密码。 其中每个密码都不同,并作为属性存储在 AD DS 计算机对象中。 可以从简单的客户端应用程序检索此属性,具体取决于分配给该属性的权限。

LAPS 要求扩展 AD DS 架构以允许安装附加属性、LAPS 组策略模板,以及在每个工作站和成员服务器上安装一个小型客户端扩展,以提供客户端功能。

可以从 Microsoft 下载中心获取 LAPS。

其他勒索软件资源

Microsoft 提供的重要信息:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Microsoft 安全团队博客文章: