從系統性身分識別入侵中復原
本文說明 Microsoft 從系統性身分識別入侵攻擊中復原的資源和建議,這些攻擊可能發生在勒索軟體攻擊期間。
本文中的內容是以Microsoft事件回應小組(先前稱為 DART/CRSP)所提供的指引為基礎,該小組致力於回應入侵,並協助客戶變得具有網路彈性。 如需Microsoft事件回應小組的更多指引,請參閱其 Microsoft安全性部落格系列。
許多組織已轉為採用雲端型方法,以強化本身的身分識別和存取管理的安全性。 不過,您的組織可能也有內部部署系統,並使用多種混合式架構的方法。 本文認同系統性身分識別攻擊會影響雲端、內部部署和混合式系統,並為這些環境提供建議和參考。
重要
此資訊會以現狀提供,並構成通用的指引;而如何將本指南套用至 IT 環境和租用戶的最終判斷,需考慮到您獨特的環境和需求,每位客戶都是最有資格決定的。
關於系統性身分識別入侵
組織的系統性身分識別入侵攻擊,會發生在當攻擊者成功在組織身分識別基礎結構的系統管理取得立足點時。
如果您的組織發生此情況,您必須搶先攻擊者一步,才能在進一步傷害發生之前保護您的環境。
具有環境身分識別基礎結構系統管理控制權的攻擊者可以使用該控制權,在環境中建立、修改或刪除身分識別和身分識別權限。
在內部部署入侵中,如果受信任的 SAML 權杖簽署憑證「沒有」儲存在 HSM 中,則攻擊會包含對受信任 SAML 權杖簽署憑證的存取。
攻擊者接著可以使用憑證來偽造 SAML 權杖,以模擬組織現有的使用者和帳戶,而不需要存取帳號憑證,也不會留下任何足跡。
高權限的帳戶存取也可以用來將攻擊者控制的認證新增至現有應用程式,讓攻擊者使用這些權限在不被偵測到的情況下存取系您的系統,例如呼叫 API。
回應攻擊
回應系統性身分識別入侵應包含下列影像和表格中所示範的步驟:
步驟 | 描述 |
---|---|
建立安全通訊 | 經歷系統性身分識別入侵的組織必須假設所有的通訊都會受到影響。 採取任何復原動作之前,您必須確定關鍵的調查和應對小組成員可以安全地進行通訊。 保護通訊必須是您的第一個步驟,如此才能在攻擊者不知情的情況下繼續進行。 |
調查您的環境 | 在確保核心調查小組的通訊安全之後,您就可以開始尋找初始的存取點和持續性滲透技術。 識別您的入侵跡象,然後找出初始存取點和持續性滲透技術。 同時,開始在復原工作期間建立持續監視作業。 |
改善安全性態勢 | 遵循改善系統安全性的最佳做法建議,啟用安全性功能。 請務必在進行期間和安全性形勢變更時持續監視工作。 |
重新取得/保留控制權 | 您必須從攻擊者手中重新取得環境的系統管理控制權。 再次控制並重新整理系統的安全性態勢之後,請務必補救或封鎖所有可能的持續性滲透技術和新的初始存取惡意探索。 |
建立安全通訊
開始回應之前,您必須確定可以安全地通訊,不會遭到攻擊者竊聽。 請務必隔離與事件相關的任何通訊,以免將調查作業洩漏給攻擊者,並在採取應對動作時使其措手不及。
例如:
針對初始的一對一通訊和群組通訊,建議您使用 PSTN 呼叫、未連線到公司基礎結構的會議橋接器,以及端對端加密傳訊解決方案。
除非透過安全通道進行驗證,否則這些架構以外的通訊應視為已遭入侵且不受信任。
在這些初始對話之後,建議您建立全新的 Microsoft 365 租用戶,並與組織的生產租用戶隔離。 只為需要參與應對行動的重要人員建立帳戶。
如果您確實建立新的 Microsoft 365 租用戶,請務必遵循租用戶的所有最佳做法,特別是針對系統管理帳戶和權限。 限制系統管理權限,不信任外部應用程式或廠商。
重要
請確保您不會透過現有租用戶和可能遭到入侵的電子郵件帳戶傳遞新的租用戶資訊。
如需詳細資訊,請參閱安全使用 Microsoft 365 的最佳做法。
識別入侵跡象
我們建議客戶遵循來自系統供應商的更新,包括 Microsoft 和任何合作夥伴,並實作所提供的任何新偵測和保護措施,並識別已發佈的入侵事件 (IOC)。
檢查下列 Microsoft 安全性產品中的更新,並實作所有建議的變更:
- Microsoft Sentinel
- Microsoft 365 安全性解決方案和服務
- Windows 10 企業版安全性
- 適用於雲端的 Microsoft Defender 應用程式
- 適用於 IoT 的 Microsoft Defender
實作新的更新有助於識別任何先前的入侵活動,並防止未來針對您的系統所進行的活動。 請記得 IOC 清單並不完整,而且可能會隨著調查的繼續而擴大。
因此,我們也建議您採取下列動作:
確定您已套用 Microsoft Cloud 安全性基準,並透過適用於雲端的 Microsoft Defender 監視合規性。
將威脅情報摘要納入 SIEM,例如在 Microsoft Sentinel 中設定 Microsoft Purview 資料連接器。
確定任何擴充的偵測和回應工具,例如適用於 IoT 的 Microsoft Defender,都使用最新的威脅情報資料。
如需詳細資訊,請參閱 Microsoft 的安全性文件:
調查您的環境
一旦事件回應人員和重要人員有安全的地方可以共同作業,您就可以開始調查遭入侵的環境。
在探究每個異常行為,與迅速採取動作來停止攻擊者任何進一步的活動之間,您必須取得平衡。 任何成功的補救措施,都需要在當下盡可能完整了解攻擊者所用的初始進入方法和持續性滲透方法。 在調查期間遺漏的任何持續性滲透方法,都可能導致攻擊者繼續存取並再度入侵的風險。
此時,您可能想要執行風險分析來決定處理動作的優先順序。 如需詳細資訊,請參閱
Microsoft 的安全性服務提供全面的資源來進行詳細調查。 下列各節說明首要的建議動作。
注意
如果您發現一或多個列出的記錄來源目前不屬於安全性程式,建議您盡快設定,以用偵測和未來的記錄檢閱。
請務必設定記錄保留,以支援您組織的調查目標繼續進展。 視需要保留法律、法規或保險用途的證據。
調查和檢閱雲端環境記錄
調查並檢閱雲端環境記錄,以了解可疑的動作和攻擊者的入侵跡象。 例如,檢查下列記錄:
- 統一稽核記錄 (UAL)
- Microsoft Entra 記錄
- Microsoft Exchange 內部部署記錄
- VPN 記錄檔,例如來自 VPN 閘道的紀錄
- 工程系統記錄檔
- 防毒軟體和端點偵測記錄
檢閱端點稽核記錄
檢閱您的端點稽核記錄以取得內部部署變更,例如下列動作類型:
- 群組成員資格變更
- 新使用者帳戶建立
- Active Directory 內的委派
特別留意與其他入侵或活動的典型徵兆同時發生的變更。
檢閱環境中的系統管理權限
檢閱雲端和內部部署環境中的系統管理權限。 例如:
Environment | 描述 |
---|---|
所有雲端環境 | - 檢閱雲端中的任何特殊存取權限,並移除任何不必要的權限 - 實作 Privileged Identity Management (PIM) - 設定條件式存取原則,以在強化系統期間限制系統管理的存取 |
所有內部部署環境 | - 檢閱內部部署的特殊權限存取,並移除不必要的權限 - 減少內建群組的成員資格 - 驗證 Active Directory 委派 - 強化第 0 層環境,並限制可存取第 0 層資產的人員 |
所有企業應用程式 | 檢閱允許下列任何動作的委派權限和同意授權: - 修改特殊權限的使用者和角色 - 讀取或存取所有信箱 - 代表其他使用者傳送或轉寄電子郵件 - 存取所有 OneDrive 或 SharePoint 網站內容 - 新增可讀取/寫入目錄的服務主體 |
Microsoft 365 環境 | 檢閱 Microsoft 365 環境的存取權限和組態設定,包括: - SharePoint Online Sharing - Microsoft Team - Power Apps - Microsoft 商務用 OneDrive |
檢閱環境中的使用者帳戶 | - 檢閱並移除不再需要的來賓使用者帳戶。 - 檢閱委派的電子郵件設定、信箱資料夾權限、ActiveSync 行動裝置註冊、收件匣規則和 Outlook 網頁版的選項。 - 檢閱 ApplicationImpersonation 權限,並盡可能減少使用任何舊版驗證。 - 驗證 MFA 是否已施行,以及所有使用者的 MFA 和自助式密碼重設 (SSPR) 連絡資訊是否正確。 |
建立持續監視
偵測攻擊者行為包含數種方法,並取決於您的組織可用於回應攻擊的安全性工具。
例如,Microsoft 安全性服務可能有與攻擊相關的特定資源和指引,如以下各節所述。
重要
如果您調查發現有證據表明系統因遭到入侵而取得系統管理權限,從而提供了對組織的全域系統管理員帳戶和/或受信任 SAML 權杖簽署憑證的存取權限,建議您採取動作來補救及保留系統管理的控制權。
使用 Microsoft Sentinel 進行監視
Microsoft Sentinel 有許多內建資源可協助您進行調查,例如搜捕活頁簿和分析規則,可協助偵測環境中相關區域的攻擊。
使用 Microsoft Sentinel 的內容中樞,來安裝擴充的安全性解決方案和資料連接器,其會串流環境中來自其他服務的內容。 如需詳細資訊,請參閱
使用適用於 IoT 的 Microsoft Defender 進行監視
如果您的環境也包含營運技術 (OT) 資源,您可能會有使用特殊化通訊協定的裝置,這些通訊協定會優先處理營運挑戰而不是安全性。
部署適用於 IoT 的 Microsoft Defender 來監視並保護這些裝置,特別是不受傳統安全性監視系統保護的任何裝置。 在環境中的特定興趣點安裝適用於 IoT 的 Defender 網路感應器,以使用無代理程式監視和動態威脅情報,來偵測持續網路活動中的威脅。
如需詳細資訊,請參閱開始使用 OT 網路安全性監視。
使用 Microsoft Defender XDR 進行監視
建議您檢查適用於端點的 Microsoft Defender XDR 和 Microsoft Defender 防毒軟體,以取得與攻擊相關的具體指引。
檢查 Microsoft 資訊安全中心的偵測、搜捕查詢和威脅分析報告的其他範例,例如 Microsoft Defender XDR、適用於身分識別的 Microsoft Defender XDR 和適用於雲端的 Microsoft Defender 應用程式。 若要確保涵蓋範圍,請確定除了所有網域控制站之外,也在 ADFS 伺服器上安裝適用於身分識別的 Microsoft Defender 代理程式。
如需詳細資訊,請參閱
使用 Microsoft Entra ID 進行監視
Microsoft Entra 登入記錄可以顯示是否正確使用多重要素驗證。 直接從 Azure 入口網站 Microsoft Entra 區域中存取登入記錄、使用 Get-MgBetaAuditLogSignIn Cmdlet,或在 Sentinel Microsoft 的 [記錄] 區域中檢視它們。
例如,搜尋或篩選 [MFA 結果] 欄位是否具有在權杖中宣告符合 MFA 需求的值。 如果您的組織使用 ADFS,且記錄的宣告未包含在 ADFS 設定中,這些宣告可能會指出攻擊者的活動。
進一步搜尋或篩選結果,以排除額外雜訊。 例如,建議您只包含來自同盟網域的結果。 如果您發現可疑的登入,請根據 IP 位址、使用者帳戶等進一步向下鑽研。
下表描述在調查中使用 Microsoft Entra 記錄的其他方法:
方法 | 描述 |
---|---|
分析風險性登入事件 | Microsoft Entra ID 及其 Identity Protection 平台可能會產生與使用攻擊者產生的 SAML 權杖相關的風險事件。 這些事件可能會標示為「陌生的屬性」、「匿名 IP 位址」、「不可能的移動」等等。 建議您仔細分析與具有系統管理權限之帳戶相關的所有風險事件,包括可能已自動關閉或補救的任何事件。 例如,風險事件或匿名 IP 位址可能會因為使用者通過了 MFA 而自動補救。 請務必使用 ADFS Connect Health,以便在 Microsoft Entra ID 中顯示所有的驗證事件。 |
偵測網域驗證屬性 | 攻擊者操縱網域驗證原則的任何嘗試都會記錄在 Microsoft Entra 稽核記錄中,並反映在整合稽核記錄中。 例如,在整合稽核記錄、Microsoft Entra 稽核記錄和/或 SIEM 環境中檢閱與設定網域驗證相關的任何事件,以確認所有列出的活動都是在預期之內且經過規劃的。 |
偵測 OAuth 應用程式的認證 | 取得特殊權限帳戶控制權的攻擊者可能會搜尋能夠存取組織中任何使用者電子郵件的應用程式,然後將攻擊者控制的認證新增至該應用程式。 例如,建議您搜尋下列與攻擊者行為一致的任何活動: - 新增或更新服務主體認證 - 更新應用程式憑證和祕密 - 為使用者新增的應用程式角色指派授與 - 新增 Oauth2PermissionGrant |
偵測應用程式的電子郵件存取 | 搜尋環境中應用程式對電子郵件的存取。 例如,使用 Microsoft Purview 稽核 (進階) 功能來調查遭入侵的帳戶。 |
偵測對服務主體的非互動式登入 | Microsoft Entra 登入報告可提供任何使用服務主體認證的非互動式登入的相關詳細資料。 例如,您可以使用登入報告來尋找調查的重要資料,例如攻擊者用來存取電子郵件應用程式的 IP 位址。 |
改善安全性態勢
如果您的系統中發生安全性事件,建議您思考目前的安全性策略和優先順序。
由於組織現在面臨了新的威脅,事件回應者通常會被要求提供建議,說明應優先考慮哪些投資。
除了本文中所述的建議之外,我們建議您考慮優先處理此攻擊者所使用的惡意探索後技術,以及造成攻擊的一般安全性態勢差距,來做為回應的焦點範圍。
下列各節列出改善一般和身分識別安全性態勢的一些建議。
改善一般安全性態勢
建議您執行下列動作來確保您的一般安全性態勢:
檢閱 Microsoft 安全分數 ,以了解針對您取用之 Microsoft 產品和服務所自訂的安全性基本概念建議。
確定您的組織具有擴充的偵測和回應 (XDR),以及適當的安全性資訊和事件管理 (SIEM) 解決方案,例如適用於端點的 Microsoft Defender XDR、Microsoft Sentinel,以及適用於 IoT 的 Microsoft Defender。
改善身分識別安全性態勢
建議您執行下列動作來確保與身份識別相關的安全性態勢:
檢閱 Microsoft 保護身分識別基礎結構的五個步驟,並針對您的身分識別架構排定這些步驟的優先順序。
如果系統或應用程式仍需舊版驗證,請排除貴組織對舊版驗證的使用。 如需詳細資訊,請參閱使用條件式存取封鎖對 Microsoft Entra ID 的舊版驗證。
將您的 ADFS 基礎結構和 AD Connect 基礎結構視為第 0 層資產。
限制系統的本機系統管理存取權,包括用來執行 ADFS 服務的帳戶。
執行 ADFS 之帳戶所需的最低權限是以服務方式登入使用者權限指派。
使用遠端桌面的 Windows 防火牆原則,將系統管理存取限制在有限的使用者和來自受限的 IP 位址範圍。
建議您設定第 0 層跳板機或對等系統。
封鎖所有從環境中任何位置存取系統的輸入 SMB 存取。 如需詳細資訊,請參閱邊緣之外:如何在 Windows 中保護 SMB 流量。 我們也建議您將 Windows 防火牆記錄串流至 SIEM 以進行歷程記錄和主動式監視。
如果您在使用服務帳戶,且該帳戶受您的環境支援,請從服務帳戶移轉至群組受控服務帳戶 (gMSA)。 如果您無法移轉至 gMSA,請將服務帳戶上的密碼輪替為複雜密碼。
確定已在 ADFS 系統上啟用詳細資訊記錄。
補救並保留系統管理控制權
如果您的調查發現攻擊者在組織的雲端或內部部署環境中具有系統管理控制權,您必須重新取得控制權,才能確保攻擊者不會持續攻擊。
本節提供在組建您的系統管理控制權復原計畫時應考慮的可能方法和步驟。
重要
貴組織所需的確切步驟取決於您在調查中所探索到的持續性滲透,以及您對於調查的完整度和是否已探索過所有可能的入侵和持續性方法的信心程度。
下列各節包含可用於補救及保留系統管理控制權的以下建議類型:
- 在目前的伺服器上移除信任
- 輪替 SAML 權杖簽署憑證,或視需要更換 ADFS 伺服器
- 針對雲端或內部部署環境的特定補救活動
在目前伺服器上移除信任
如果您的組織失去了權杖簽署憑證或同盟信任的控制權,最保險的方法是移除信任,並在補救內部部署時切換到雲端主控的身分識別。
移除信任並切換至雲端主控身分識別需要經過仔細規劃,以及深入了解隔離身分識別所帶來的商務營運影響。 如需詳細資訊,請參閱保護 Microsoft 365 免遭內部部署攻擊。
輪替 SAML 權杖簽署憑證
如果您的組織決定「不要」在內部部署復原系統管理控制權時移除信任,則您必須在重新取得內部部署系統管理控制權之後輪替 SAML 權杖簽署憑證,並封鎖攻擊者再次存取簽署憑證的能力。
單次輪替權杖簽署憑證仍可讓先前的權杖簽署憑證產生作用。 允許先前的憑證繼續產生作用是一般憑證輪替的內建功能,為組織提供憑證到期前的寬限期,以更新任何信賴憑證者的信任。
如果發生攻擊,您不會想讓攻擊者保留任何存取權。 確定攻擊者無法保有偽造網域權杖的能力。
如需詳細資訊,請參閱
取代 ADFS 伺服器
如果您決定以乾淨系統取代 ADFS 伺服器,而非輪替 SAML 權杖簽署憑證,則您必須從環境移除現有的 ADFS,然後組建新的伺服器。
如需詳細資訊,請參閱移除設定。
雲端補救活動
除了本文稍早所列的建議之外,我們也建議您針對雲端環境執行下列活動:
活動 | 描述 |
---|---|
重設密碼 | 重設任何緊急安全窗口帳戶的密碼,並將緊急安全窗口帳戶數減少到絕對必要的最小值。 |
限制特殊權限存取帳戶 | 確定具有特殊權限存取的服務與使用者帳戶僅限雲端帳戶,而且不會使用同步或同盟至 Microsoft Entra ID 的內部部署帳戶。 |
強制執行 MFA | 對租用戶中所有提高權限的使用者強制執行多重要素驗證 (MFA)。 建議您對租用戶中的所有使用者強制執行 MFA。 |
限制系統管理存取 | 實作 Privileged Identity Management (PIM) 和條件式存取,以限制系統管理存取。 若為 Microsoft 365 使用者,請實作 Privileged Access Management (PAM) ,以限制存取敏感性資料的功能,例如電子文件探索、全域管理員、帳戶管理等。 |
檢閱/減少委派權限和同意授權 | 檢閱並減少可允許下列任一功能的所有企業應用程式委派權限或同意授權: - 修改具特殊權限的使用者和角色 - 讀取、傳送電子郵件或存取所有信箱 - 存取 OneDrive、Teams 或 SharePoint 內容 - 新增可讀取/寫入目錄的服務主體 - 應用程式權限與委派存取 |
內部部署補救活動
除了本文稍早所列的建議之外,我們也建議您針對內部部署環境執行下列活動:
活動 | 描述 |
---|---|
重建受影響的系統 | 針對在調查期間識別為遭攻擊者入侵的系統進行重建。 |
移除不必要的系統管理使用者 | 從網域管理員、備份操作員和企業系統管理員群組中移除不必要的成員。 如需詳細資訊,請參閱保護特殊權限存取。 |
為特殊權限帳戶重設密碼 | 重設環境中所有特殊權限帳戶的密碼。 注意:特殊權限帳戶不限於內建群組,也可以是委派存取伺服器管理、工作站管理或環境其他區域的群組。 |
重設 krbtgt 帳戶 | 使用 New-KrbtgtKeys 指令碼重設 krbtgt 帳戶兩次。 注意:如果您使用唯讀網域控制站,則必須分別為讀寫網域控制站和唯讀網域控制站執行指令碼。 |
排程系統重新啟動 | 在您驗證攻擊者所建立的持續性滲透機制不存在,或是未留存在您的系統上之後,請排程一次系統重新開機,以協助移除記憶體中駐留的惡意程式碼。 |
重設 DSRM 密碼 | 將每個網域控制站的 DSRM (目錄服務還原模式) 密碼重設為唯一且複雜的密碼。 |
補救或封鎖調查期間探索到的持續性滲透
調查是反覆進行的程序,您必須在下列情況間進行權衡,也就是組織在識別出異常狀況時進行補救的希望,以及該補救會警示攻擊者您已偵測到異常,讓他們有時間反應的機會。
例如,發現受到偵測的攻擊者可能會變更技術或建立更多的持續性滲透。
請務必補救您在調查早期階段所識別的任何持續性滲透技術。
補救使用者和服務帳戶存取權
除了上述建議動作之外,我們建議您考慮下列步驟來補救和還原使用者帳戶:
依據受信任的裝置強制執行條件式存取。 可能的話,建議您強制執行「位置型條件式存取」,以符合組織需求。
在收回任何可能遭到入侵的使用者帳戶之後重設密碼。 請務必同時實作中期計畫,以重設目錄中所有帳戶的認證。
在輪替認證之後立即撤銷重新整理權杖。
如需詳細資訊,請參閱
下一步
選取導覽列頂端的 [說明] (?) 按鈕,從 Microsoft 產品內部取得說明,包括 Microsoft 365 Defender 入口網站、Microsoft Purview 合規性入口網站,以及 Office 365 安全性與合規性中心。
如需部署協助,請透過 FastTrack 與我們連絡
如果您有產品支援相關需求,請建立 Microsoft 支援案例。
重要
如果您認為已遭入侵,且需要透過事件回應取得協助,請建立 Sev A Microsoft 支援案例。