Microsoft 事件响应团队勒索软件方法和最佳做法

人为操作的勒索软件不是恶意软件问题，而是人类犯罪问题。 用于解决商品问题的解决方案不足以防止更类似于国家/地区威胁行动者的威胁，该威胁行动者：

• 加密文件之前禁用或卸载防病毒软件
• 禁用安全服务和日志记录以避免检测
• 发送赎金要求之前查找并损坏或删除备份

这些操作通常是通过合法程序（如 2024 年 5 月的快速助手）完成的，你可能已经在你的环境中出于管理目的安装了这些程序。 在犯罪分子手中，这些工具被恶意用于发动攻击。

应对日益严重的勒索软件威胁需要结合现代企业配置、最新的安全产品以及训练有素的安全人员的警惕性，以在数据丢失之前检测和响应威胁。

Microsoft 事件响应团队（前称为 DART/CRSP）响应安全威胁，以帮助客户获得网络复原能力。 Microsoft 事件响应提供现场反应事件响应和远程主动调查。 Microsoft 事件响应利用 Microsoft 与世界各地的安全组织和内部 Microsoft 产品组的战略合作关系，尽可能提供最完整的全面调查。

本文介绍 Microsoft 事件响应如何处理 Microsoft 客户的勒索软件攻击，以便你可以考虑将其方法和最佳做法的元素应用到你自己的安全操作 playbook 中。

注意

本文内容源自 Microsoft 安全团队博客文章打击人为操作的勒索软件的指南：第 1 部分和打击人为操作的勒索软件的指南：第 2 部分。

Microsoft 事件响应如何使用 Microsoft 安全服务

Microsoft 事件响应主要依赖数据进行所有调查，并使用 Microsoft 安全服务的现有部署，例如 Microsoft Defender for Office 365、Microsoft Defender for Endpoint、Microsoft Defender for Identity，以及 Microsoft Defender for Cloud Apps。

用于终结点的 Microsoft Defender

Defender for Endpoint 是 Microsoft 的企业终结点安全平台，专门用于帮助企业网络安全分析师防御、检测、调查和响应高级威胁。 Defender for Endpoint 可以使用高级行为分析和机器学习来检测攻击。 分析师可以使用 Defender for Endpoint 进行攻击者行为分析。

下面是 Microsoft Defender for Endpoint 中用于票据传递攻击的警报示例。

你的分析师还可以执行高级搜寻查询，以消除入侵指标 (IOC)，或者在识别威胁行动者组时搜索已知行为。

以下是如何使用高级搜寻查询来定位已知攻击者行为的示例。

在 Defender for Endpoint 中，你可以访问 Microsoft 威胁专家提供的实时专家级监视和分析服务，以了解持续的可疑行动者活动。 你还可以按需与专家协作，获得有关警报和事件的更多见解。

以下是 Defender for Endpoint 如何显示详细的勒索软件活动的示例。

Microsoft Defender for Identity

你可以使用 Defender for Identity，来调查已知的遭入侵帐户并查找组织中可能遭入侵的帐户。 Defender for Identity 会针对行动者经常使用的已知恶意活动发送警报，例如 DCSync 攻击、远程代码执行尝试和哈希传递攻击。 通过 Defender for Identity，可以查明可疑活动和帐户，以缩小调查范围。

以下是 Defender for Identity 如何发送与勒索软件攻击相关的已知恶意活动的警报的示例。

Microsoft Defender for Cloud Apps

通过 Defender for Cloud Apps（以前称为 Microsoft Cloud App Security），分析师可以检测云应用中的异常行为，来识别勒索软件、遭入侵的用户或流氓应用。 Defender for Cloud Apps 是 Microsoft 的云访问安全代理 (CASB) 解决方案，允许监视云服务以及用户在云服务中的数据访问。

以下是 Defender for Cloud Apps 仪表板的示例，它允许进行分析以检测跨云应用的异常行为。

Microsoft 安全功能分数

Microsoft Defender XDR 服务集提供实时修正建议以减少攻击面。 Microsoft 安全功能分数是组织安全状况的度量值，数字越大表示已执行的改进操作越多。 请参阅安全功能分数文档，详细了解你的组织如何使用此功能根据环境设置修正操作的优先级。

执行勒索软件事件调查的 Microsoft 事件响应方法

应尽可能地确定攻击者如何访问你的资产，以便修正漏洞。 否则，未来极有可能再次发生同类攻击。 在某些情况下，威胁行动者会采取一些步骤来掩盖他们的踪迹并销毁证据，因此整个事件链可能并不明显。

以下是 Microsoft 事件响应勒索软件调查中的三个关键步骤：

步骤	目标	初始问题
1. 评估当前状况	了解范围	最初是什么让你意识到勒索软件攻击？ 你第一次得知该事件的时间/日期是什么？ 有哪些日志可用，是否有任何迹象表明行动者当前正在访问系统？
2. 识别受影响的业务线 (LOB) 应用	让系统恢复在线状态	应用程序是否需要标识？ 应用程序、配置和数据的备份是否可用？ 是否使用还原练习定期验证备份的内容和完整性？
3. 确定入侵恢复 (CR) 过程	从环境中删除攻击者控制	空值

步骤 1：评估当前状况

对当前状况的评估对于了解事件的范围、确定最佳人员来协助以及规划和确定调查和修正任务的范围至关重要。 询问以下初始问题对于帮助确定状况至关重要。

最初是什么让你意识到勒索软件攻击？

如果你的 IT 人员发现了最初的威胁（例如注意到备份被删除、防病毒警报、终结点检测和响应 [EDR] 警报或可疑的系统更改），通常可以采取快速果断措施来阻止攻击，通常是通过禁用所有入站和出站互联网通信。 此威胁可能会暂时影响业务运营，但这通常比攻击者部署勒索软件的影响要小得多。

如果用户致电 IT 支持人员发现了威胁，则可能有足够的提前警告，以便采取防御措施来防止或最大程度地减少攻击的影响。 如果威胁是外部实体（例如执法部门或金融机构）发现的，则损害很可能已经造成，并且你将在你的环境中看到证据表明威胁行动者已经获得了对你网络的管理控制。 这些证据可能包括勒索软件说明、锁屏界面或赎金要求。

你第一次得知该事件的日期/时间是什么？

确定初始活动日期和时间很重要，因为有助于缩小攻击者快速获胜的初始分类范围。 其他问题可能包括：

• 该日期缺少哪些更新？ 了解攻击者可能利用的漏洞非常重要。
• 该日期使用了哪些帐户？
• 自该日期以来已创建了哪些新帐户？

有哪些日志可用，是否有任何迹象表明行动者当前正在访问系统？

日志（如防病毒软件、EDR 和虚拟专用网 (VPN)）是可疑入侵的指示器。 后续问题可能包括：

• 日志是否在安全信息和事件管理 (SIEM) 解决方案（如 Microsoft Sentinel、Splunk、ArcSight 等）和当前解决方案中聚合？ 此数据的保留期多久？
• 是否有任何可疑的遭入侵系统遇到异常活动？
• 是否有任何可疑的遭入侵帐户似乎被攻击者主动使用？
• EDR、防火墙、VPN、Web 代理和其他日志中是否有活动命令和控制 (C2) 的证据？

作为评估当前状况的一部分，你可能需要未遭入侵的 Active Directory 域服务 (AD DS) 域控制器、域控制器的最近备份或最近脱机以进行维护或升级的域控制器。 此外，还确定公司中每个人是否需要多重身份验证 (MFA)，以及是否使用了 Microsoft Entra ID。

步骤 2：识别因事件而无法使用的 LOB 应用

此步骤对于找出使系统恢复在线同时获取所需证据的最快方法至关重要。

应用程序是否需要标识？

• 身份验证是如何执行的？
• 如何存储和管理证书或机密等凭证？

应用程序、配置和数据的经过测试的备份是否可用？

• 是否使用还原练习定期验证备份的内容和完整性？ 此检查在配置管理更改或版本升级后尤为重要。

步骤 3：确定入侵恢复过程

如果你确定控制平面（通常是 AD DS）已遭入侵，则可能需要执行此步骤。

你的调查应始终以提供直接反馈到 CR 过程的输出为目标。 CR 是在一定期间内消除攻击者对环境的控制并从战术上提高安全状况的过程。 CR 在安全漏洞后发生。 要了解有关 CR 的详细信息，请阅读 Microsoft 入侵恢复安全实践团队的 CRSP：紧急团队在客户旁边对抗网络攻击博客文章。

收集对步骤 1 和 2 中问题的响应后，你可以构建任务列表并分配所有者。 成功的事件响应参与的一个关键因素是对每个工作项（例如所有者、状态、结果、日期和时间）进行彻底、详细的记录，从而使参与结束时调查结果的汇编成为一个简单过程。

Microsoft 事件响应建议和最佳做法

下面是 Microsoft 事件响应关于包含和事后活动的建议和最佳做法。

遏制

只有在确定需要遏制的内容后，才能进行遏制。 对于勒索软件，攻击者的目标是获取允许对高可用服务器进行管理控制的凭据，然后部署勒索软件。 在某些情况下，威胁行动者会识别敏感数据并将其泄露到他们控制的位置。

战术恢复对于你组织的环境、行业以及 IT 专业知识和经验水平来说是独一无二的。 建议你的组织采取下面概述的短期和战术遏制措施。 要了解有关长期指导的详细信息，请参阅保护特权访问。 有关勒索软件和敲诈勒索的全面视图以及如何准备和保护组织，请参阅人工操作的勒索软件。

在发现新的威胁攻击途径时，可以同时执行以下遏制步骤。

步骤 1：评估状况的范围

• 哪些用户帐户遭入侵？
• 哪些设备受影响？
• 哪些应用程序受影响？

步骤 2：保留现有系统

• 禁用所有特权用户帐户（管理员使用的少数帐户除外），以帮助重置 AD DS 基础结构的完整性。 如果你认为用户帐户遭入侵，请立即将其禁用。
• 将遭入侵的系统与网络隔离，但不要将其关闭。
• 在每个域中至少隔离一个已知良好的域控制器 – 两个更好。 断开它们与网络的连接，或完全关闭它们。 该对象是阻止勒索软件向关键系统传播 – 标识是最脆弱的系统之一。 如果你的所有域控制器都是虚拟的，请确保虚拟化平台的系统和数据驱动器备份到未连接到网络的脱机外部媒体，以防虚拟化平台本身遭入侵。
• 隔离关键的已知良好应用程序服务器，例如 SAP、配置管理数据库 (CMDB)、计费和会计系统。

这两个步骤可以同时完成，因为发现新的威胁攻击途径。 禁用这些威胁攻击途径，然后尝试找到一个已知良好的系统来与网络隔离。

其他战术遏制操作可能包括：

• 快速连续两次重置 krbtgt 密码。 请考虑使用脚本化、可重复的过程。 使用此脚本，可以重置 krbtgt 帐户密码和相关密钥，同时最大限度地减少该操作导致 Kerberos 身份验证问题的可能性。 为了最大限度地减少潜在问题，可以在第一次密码重置之前缩短 krbtgt 生存期一次或多次，以便快速完成两次重置。 请注意，你计划保留在环境中的所有域控制器都必须处于在线状态。

• 将组策略部署到整个域，以防止特权登录（域管理员）除了域控制器和仅限特权管理的工作站（如果有）之外的任何内容。

• 安装操作系统和应用程序缺少的所有安全更新。 每个缺失的更新都是潜在的威胁攻击途径，攻击者可以快速识别和利用。 Microsoft Defender for Endpoint 的威胁和漏洞管理提供了一种简单的方法，来准确查看缺失内容以及缺失更新的潜在影响。

  • 对于 Windows 10（或更高版本）设备，请确认当前版本（或 n-1）是否在每个设备上运行。

  • 部署攻击面减少 (ASR) 规则以防止恶意软件感染。

  • 启用所有 Windows 10 安全功能。

• 检查每个面向外部的应用程序（包括 VPN 访问）是否受到多重身份验证的保护，最好使用在安全设备上运行的身份验证应用程序。

• 对于未使用 Defender for Endpoint 作为主要防病毒软件的设备，请在隔离的已知良好系统上使用 Microsoft 安全扫描程序运行完全扫描，然后再将这些系统重新连接到网络。

• 对于任何旧的操作系统，请升级到受支持的 OS 或停用这些设备。 如果这些选项不可用，请采取一切可能的措施来隔离这些设备，包括网络/VLAN 隔离、Internet 协议安全性 (IPsec) 规则和登录限制，以便用户/设备只能访问这些应用程序来提供业务连续性。

风险最高的配置包括在 Windows NT 4.0 等旧的操作系统和应用程序上运行关键任务系统，所有这些都在旧的硬件上。 这些操作系统和应用程序不仅不安全且易受攻击，如果该硬件发生故障，通常无法在新式硬件上还原备份。 除非有可用的替换旧硬件，否则这些应用程序会停止运行。 强烈建议将这些应用程序转换为在当前操作系统和硬件上运行。

事件后活动

Microsoft 事件响应建议在每个事件后实施以下安全建议和最佳做法。

• 确保电子邮件和协作解决方案采用最佳做法，使攻击者更难滥用它们，同时使内部用户能够轻松、安全地访问外部内容。

• 遵循内部组织资源远程访问解决方案的零信任安全最佳做法。

• 从具有重大影响的管理员开始，遵循帐户安全的最佳做法，包括使用无密码身份验证或 MFA。

• 实施全面的策略来减少特权访问泄露的风险。

  • 对于云和林/域管理访问权限，请使用 Microsoft 的特权访问模型 (PAM)。

  • 对于终结点行政管理，请使用本地管理员密码解决方案 (LAPS)。

• 实施数据保护，以阻止勒索软件技术并确保从攻击中快速可靠地恢复。

• 查看关键系统。 检查保护和备份，以防攻击者蓄意擦除或加密。 请务必定期测试和验证这些备份。

• 确保对针对终结点、电子邮件和标识的常见攻击进行快速检测和修正。

• 主动发现并持续改善环境的安全状况。

• 更新组织流程，以管理重大勒索软件事件并简化外包来避免摩擦。

PAM

使用 PAM（以前称为分层管理模型）可增强 Microsoft Entra ID 的安全状况，其中包括：

• 在“计划的”环境中分解管理帐户 – 每个级别一个帐户，通常是四个：

• 控制平面（以前称为层级 0）：管理域控制器和其他关键标识服务，例如 Active Directory 联合身份验证服务 (ADFS) 和 Microsoft Entra Connect，其中还包括需要对 AD DS 有管理权限的服务器应用程序，例如 Exchange Server。

• 接下来的两个平面以前为第 1 层：

  • 管理平面：资产管理、监视和安全性。

  • 数据/工作负载平面：应用程序和应用程序服务器。

• 接下来的两个平面以前为第 2 层：

  • 用户访问：用户访问权限（如帐户）。

  • 应用访问：应用程序的访问权限。

• 其中每个平面都将有一个单独的管理工作站，并且只能访问该平面中的系统。 通过为这些计算机设置的用户权限分配，其他平面的其他帐户会被拒绝访问其他平面中的工作站和服务器。

PAM 的净结果是：

• 遭入侵的用户帐户只能访问其所属的平面。

• 更敏感的用户帐户不会登录到安全级别较低的工作站和服务器，从而减少横向移动。

LAPS

默认情况下，Microsoft Windows 和 AD DS 没有对工作站和成员服务器上的本地管理帐户进行集中管理。 这可能会导致为所有这些本地帐户（或至少在计算机组中）提供一个通用密码。 此情况使得潜在的攻击者能够入侵一个本地管理员帐户，然后使用该帐户来访问组织中的其他工作站或服务器。

Microsoft 的 LAPS 通过使用组策略客户端扩展插件来缓解此问题，该扩展插件根据策略集定期更改工作站和服务器上的本地管理密码。 其中每个密码都是不同的，且作为属性存储在 AD DS 计算机对象中。 可以从简单客户端应用程序检索此属性，具体取决于分配给该属性的权限。

LAPS 需要扩展 AD DS 架构以允许附加属性、要安装的 LAPS 组策略模板，以及每个工作站和成员服务器上要安装的小型客户端扩展，以提供客户端功能。

可以从 Microsoft 下载中心获取 LLAPS。

其他勒索软件资源

Microsoft 提供的重要信息：

• 人为操作的勒索软件

• 快速防范勒索软件和敲诈勒索

• 2023 Microsoft 数字防御报告（请参阅第 17-26 页）

• Microsoft Defender 门户中的勒索软件：普遍和持续的威胁威胁分析报告

• Microsoft 事件响应勒索软件案例研究

Microsoft 365：

• 为 Microsoft 365 租户部署勒索软件防护
• 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
• 从勒索软件攻击中恢复
• 恶意软件和勒索软件防护
• 保护 Windows 10 电脑，使其免受勒索软件侵害
• SharePoint Online 中的勒索软件
• Microsoft Defender 门户中的“勒索软件的威胁分析报告”

Microsoft Defender XDR:

• 通过高级搜寻找到勒索软件

Microsoft Azure：

• Azure 针对勒索软件攻击的防御措施
• 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
• 旨在防范勒索软件的备份和还原计划
• 使用 Microsoft Azure 备份帮助防范勒索软件（26 分钟的视频）
• 从系统标识入侵中恢复
• Microsoft Sentinel 中的高级多阶段攻击检测
• Microsoft Sentinel 中对勒索软件的融合检测

Microsoft Defender for Cloud Apps：

• 在 Defender for Cloud 应用中创建异常情况检测策略