偵測並回應勒索軟體攻擊
有數個可能觸發程式可能表示勒索軟體事件。 與許多其他類型的惡意代碼不同,大部分是更高的信賴觸發程式(在宣告事件之前,應該不需要進行額外的調查或分析),而不是低信賴觸發程式(在應該宣告事件之前可能需要更多調查或分析)。
一般而言,這種感染明顯來自基本系統行為、缺少關鍵系統或用戶檔案,以及贖金需求。 在此情況下,分析師應該考慮是否要立即宣告並呈報事件,包括採取任何自動化動作來減輕攻擊。
偵測勒索軟體攻擊
適用於雲端的 Microsoft Defender 提供高品質的威脅偵測和回應功能,也稱為「擴充偵測和回應」(XDR)。
確保快速偵測和補救 VM、SQL Server、Web 應用程式和身分識別的常見攻擊。
- 設定常見進入點 的優先權 – 勒索軟體 (和其他) 操作員偏好端點/電子郵件/身分識別 + 遠端桌面通訊協定 (RDP)
- 整合式 XDR - 使用 Microsoft 適用於雲端的 Defender 等整合式擴充偵測和回應 (XDR) 工具來提供高品質的警示,並將響應期間的摩擦和手動步驟降到最低
- 暴力密碼破解 - 監視密碼噴灑等 暴力密碼破解嘗試
- 監視敵人停用安全性 – 因為這通常是人為操作勒索軟體(幽默)攻擊鏈的一部分
- 事件記錄清除 – 特別是安全性事件記錄檔和 PowerShell 作業記錄
- 停用安全性工具/控制項 (與某些群組相關聯)
- 不要忽略商品惡意代碼 - 勒索軟體攻擊者會定期從黑暗市場購買目標組織的存取權
- 將外部專家整合至補充專業知識的程式,例如 Microsoft 偵測和回應小組(DART)。
- 在內部部署中使用適用於端點的 Defender 快速隔離遭入侵的電腦。
回應勒索軟體攻擊
事件宣告
確認成功感染勒索軟體后,分析師應該確認這代表新的事件,或它是否可能與現有的事件有關。 尋找目前開啟的票證,指出類似的事件。 如果是,請使用票證系統中的新資訊更新目前的事件票證。 如果這是新的事件,則應在相關的票證系統中宣告事件,並呈報給適當的小組或提供者,以包含和減輕事件。 請注意,管理勒索軟體事件可能需要由多個IT和安全性小組採取動作。 可能的話,請確定票證已明確識別為勒索軟體事件,以引導工作流程。
內含專案/風險降低
一般而言,應將各種伺服器/端點反惡意代碼、電子郵件反惡意代碼和網路保護解決方案設定為自動包含和減輕已知的勒索軟體。 不過,在某些情況下,特定勒索軟體變體已經能夠略過這類保護,並成功感染目標系統。
Microsoft 提供廣泛的資源,可協助更新頂端 Azure 安全性最佳做法上的事件回應程式。
以下是建議的動作,以包含或減輕涉及勒索軟體的宣告事件,其中反惡意代碼系統所採取的自動化動作失敗:
- 透過標準支援程式吸引反惡意代碼廠商
- 將與惡意代碼相關聯的哈希和其他資訊手動新增至反惡意代碼系統
- 套用反惡意代碼廠商更新
- 包含受影響的系統,直到可以補救為止
- 停用遭入侵的帳戶
- 執行根本原因分析
- 在受影響的系統上套用相關的修補程式和設定變更
- 使用內部和外部控件封鎖勒索軟體通訊
- 清除快取的內容
復原之路
Microsoft 偵測和回應小組將協助您免於遭受攻擊
先瞭解並修正導致入侵的基本安全性問題,應該是勒索軟體受害者的首要任務。
將外部專家整合到程式,以補充專業知識,例如 Microsoft 偵測和回應小組(DART)。 DART 與世界各地的客戶互動,協助保護和強化攻擊發生之前,以及調查和補救攻擊發生時。
客戶可以直接從 Microsoft Defender 入口網站內連絡我們的安全性專家,以取得及時且準確的回應。 專家提供深入解析,以進一步瞭解影響貴組織的複雜威脅,從警示查詢、潛在遭入侵的裝置、可疑網路連線的根本原因,到有關持續進階威脅活動的其他威脅情報。
Microsoft 已準備好協助貴公司恢復安全作業。
Microsoft 會執行數百次入侵復原,並具有嘗試且真實的方法。 它不僅能讓您獲得更安全的位置,也讓您有機會考慮您的長期策略,而不是對局勢做出反應。
Microsoft 提供快速勒索軟體復原服務。 因此,在所有領域都提供協助,例如還原身分識別服務、補救和強化,以及監視部署,以協助勒索軟體攻擊的受害者在最短的時間範圍內返回正常業務。
在參與期間,我們的快速勒索軟體復原服務會被視為「機密」。 快速勒索軟體復原參與是由入侵復原安全性實務 (CRSP) 小組獨家提供,這是 Azure 雲端和 AI 網域的一部分。 如需詳細資訊,您可以在要求連絡有關 Azure 安全性的聯繫人中連絡 CRSP。
下一步是什麼
請參閱白皮書: 適用於勒索軟體攻擊白皮書的 Azure 防禦。
本系列中的其他文章: