注意事項
想要體驗 Microsoft Defender 全面偵測回應嗎? 深入了解如何 評估和試驗 Microsoft Defender 全面偵測回應。
勒索軟體是一種勒索攻擊,它會破壞或加密檔案和資料夾,阻止存取關鍵資料或破壞關鍵業務系統。 勒索軟體有兩種類型:
- 商品勒索軟體是一種惡意軟體,透過網路釣魚或裝置之間傳播,並在索要贖金之前加密檔案。
- 人為操作的勒索軟體是活躍的網路犯罪分子採用多種攻擊方法的有計劃和協調的攻擊。 在許多情況下,已知的技術和工具被用來滲透您的組織,找到值得勒索的資產或系統,然後索要贖金。 破壞網絡後,攻擊者會對可以加密或勒索的資產和系統進行偵察。 然後,攻擊者在要求贖金之前加密或洩露數據。
本文說明使用 Microsoft Defender 入口網站主動偵測新的或正在進行的人為操作勒索軟體攻擊,這是 XDR) 解決方案 (延伸偵測和回應,適用於下列安全性服務:
- 適用於端點的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- Microsoft Defender for Cloud Apps (包括應用程式控管附加元件)
- Microsoft Entra ID Protection
- Microsoft Defender for IoT
- Microsoft 365 商務進階版
- 適用於企業的 Microsoft Defender
如需防止勒索軟體攻擊的相關資訊,請參閱 快速部署勒索軟體防護 - 階段 3:使其難以進入。
主動偵測的重要性
由於人為操作的勒索軟體通常由活躍的攻擊者執行,他們可能正在執行即時滲透和發現您最有價值的資料和系統的步驟,因此偵測勒索軟體攻擊所需的時間至關重要。
如果快速偵測到贖金前活動,則發生嚴重攻擊的可能性就會降低。 贖金前階段通常包括以下技術:初始存取、偵察、憑證竊取、橫向移動和持久性。 這些技術最初似乎無關緊要,而且經常被忽視。 如果這些技術導致贖金階段,通常為時已晚。 Microsoft Defender 全面偵測回應 可協助識別這些小型且看似不相關的事件,作為大型勒索軟體活動的一部分。
- 在勒索前階段偵測到時,可以使用較小規模的緩解措施(例如隔離受感染的裝置或使用者帳戶)來中斷和補救攻擊。
- 如果偵測發生在稍後階段,例如部署用於加密檔案的惡意軟體時,則可能需要使用可能導致停機的更積極的補救步驟來中斷和補救攻擊。
回應勒索軟體攻擊時,可能會中斷業務營運。 勒索軟體攻擊的最後階段通常是在具有重大風險的攻擊者造成的停機或受控停機之間做出選擇,以確保網路安全並讓您有時間進行全面調查。 我們絕不建議支付贖金。 向網路犯罪分子付費以獲得勒索軟體解密金鑰並不能保證您的加密資料會得到恢復。 請參閱勒索 軟體回應 - Microsoft 安全性部落格。
以下是勒索軟體攻擊的影響與您回應未偵測與主動偵測和回應的時間之間的定性關係。
透過常見的惡意軟體工具和技術進行主動偵測
在許多情況下,人為操作的勒索軟體攻擊者使用眾所周知且經過現場測試的惡意軟體策略、技術、工具和程序,包括網路釣魚、商業電子郵件洩露 (BEC) 以及憑證竊取。 您的安全分析師必須了解並熟悉攻擊者如何使用常見的惡意軟體和網路攻擊方法在您的組織中站穩腳跟。
若要查看勒索軟體攻擊如何開始使用常見惡意程式碼的範例,請參閱下列資源:
熟悉勒索前惡意軟體、承載和活動,有助於您的分析師知道要尋找什麼來防止攻擊的後期階段。
人為操作的勒索軟體攻擊策略
由於人為操作的勒索軟體可以使用已知的攻擊技術和工具,因此在準備 SecOps 團隊進行專注勒索軟體偵測做法時,分析師對現有攻擊技術和工具的理解和經驗將是寶貴的資產。
攻擊策略與方法
以下是勒索軟體攻擊者用於以下 MITRE ATT&CK 策略的一些典型技術和工具:
初始訪問:
- RDP 暴力破解
- 易受攻擊的網際網路系統
- 弱應用程式設定
- 網路釣魚電子郵件
憑證盜竊:
- 米米卡茨
- LSA 秘密
- 認證保存庫
- 純文字認證
- 濫用服務帳戶
橫向移動:
- 鈷罷工
- WMI
- 濫用管理工具
- PsExec
堅持:
- 新帳戶
- GPO 變更
- 影子 IT 工具
- 排程任務
- 服務註冊
防禦閃避:
- 停用安全性功能
- 清除日誌檔
- 刪除攻擊成品檔案
- 重設已變更檔案的時間戳記
外洩:
- 敏感資料外洩影響 (財務槓桿) :
- 就地加密和備份中的資料
- 刪除就地資料和備份,這可能會與先前的外洩結合使用
- 洩露的敏感數據被公開洩露的威脅
要找什麼
安全分析師面臨的挑戰是識別警報何時是更大攻擊鏈的一部分,其目標是勒索您的敏感資料或關鍵系統。 例如,偵測到的網路釣魚攻擊可能是:
- 監視組織財務部門人員的電子郵件訊息的一次性攻擊。
- 攻擊鏈結的勒索前部分,使用遭入侵的使用者帳戶認證來探索使用者帳戶可用的資源,並入侵具有更高層級許可權和存取權的其他使用者帳戶。
本節提供常見的攻擊階段和方法,以及饋送至中央 Microsoft Defender 入口網站的訊號來源,以建立由多個相關警示所組成的警示和事件,以進行安全性分析。 在某些情況下,有替代安全門戶可以查看攻擊數據。
初始攻擊以獲得進入
攻擊者正嘗試入侵使用者帳戶、裝置或應用程式。
| 攻擊方式 | 訊號源 | 替代安全性入口網站 |
|---|---|---|
| RDP 暴力破解 | 適用於端點的 Defender | Defender for Cloud Apps |
| 易受攻擊的網際網路系統 | Windows 安全性功能、適用於伺服器的 Microsoft Defender | |
| 弱應用程式設定 | Defender for Cloud Apps、具有應用程式控管附加元件的 Defender for Cloud Apps | Defender for Cloud Apps |
| 惡意應用程式活動 | Defender for Cloud Apps、具有應用程式控管附加元件的 Defender for Cloud Apps | Defender for Cloud Apps |
| 網路釣魚電子郵件 | 適用於 Office 365 的 Defender | |
| 針對 Microsoft Entra 帳戶的密碼噴灑 | 透過 Defender for Cloud Apps 的 Microsoft Entra ID Protection | Defender for Cloud Apps |
| 針對內部部署帳戶的密碼噴灑 | 適用於身分識別的 Microsoft Defender | |
| 裝置遭入侵 | 適用於端點的 Defender | |
| 認證竊取 | 適用於身分識別的 Microsoft Defender | |
| 提高權限 | 適用於身分識別的 Microsoft Defender |
最近其他典型行為的激增
攻擊者正在嘗試探測要入侵的其他實體。
| 尖峰類別 | 訊號源 | 替代安全性入口網站 |
|---|---|---|
| 登入:多次嘗試失敗、短時間內嘗試登入多台裝置、多次首次登入等。 | 透過 Defender for Cloud Apps、Microsoft Defender for Identity 的 Microsoft Entra ID Protection | Defender for Cloud Apps |
| 最近活躍的用戶帳戶、組、機器帳戶、應用程序 | 透過 Defender for Cloud Apps (Microsoft Entra ID) 、適用於身分識別的 Defender (Active Directory 網域服務 [AD DS] Microsoft Entra ID Protection ) | Defender for Cloud Apps |
| 最近的應用程式活動,例如資料存取 | 具有應用程式控管附加元件的 Defender for Cloud Apps 應用程式 | Defender for Cloud Apps |
新上線活動
攻擊者正在創建新實體以擴大其影響力、安裝惡意軟件代理或逃避檢測。
| 活動 | 訊號源 | 替代安全性入口網站 |
|---|---|---|
| 已安裝的新應用程式 | 具有應用程式控管附加元件的 Defender for Cloud Apps | Defender for Cloud Apps |
| 新使用者帳戶 | Azure 身分識別保護 | Defender for Cloud Apps |
| 角色變更 | Azure 身分識別保護 | Defender for Cloud Apps |
可疑行為
攻擊者正在下載敏感資訊、加密檔案,或以其他方式收集或損壞組織資產。
| 行為 | 訊號源 |
|---|---|
| 惡意軟體傳播到多個裝置 | 適用於端點的 Defender |
| 資源掃描 | 適用於端點的 Defender、適用於身分識別的 Defender |
| 信箱轉寄規則的變更 | 適用於 Office 365 的 Defender |
| 資料外洩和加密 | 適用於 Office 365 的 Defender |
-*監控對手禁用安全性** – 因為這通常是人為操作的勒索軟件 (HumOR) 攻擊鏈的一部分
- 事件記錄 清除 – 尤其是安全性事件記錄檔和 PowerShell 作業記錄檔
- 停用與某些群組相關聯的安全工具/控制 ()
使用 Microsoft Defender 入口網站偵測勒索軟體攻擊
Microsoft Defender 入口網站提供集中式檢視,以取得偵測、受影響資產、採取的自動化動作,以及相關辨識的組合資訊:
- 事件佇列,將攻擊的相關警示分組,以提供完整的攻擊範圍、受影響的資產和自動化補救動作。
- 警示佇列,其中會列出 Microsoft Defender 全面偵測回應所追蹤的所有警示。
事件和警示來源
Microsoft Defender 入口網站會集中來自下列位置的訊號:
- 適用於端點的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- Microsoft Defender for Cloud Apps (包括應用程式控管附加元件)
- Microsoft Entra ID Protection
- Microsoft Defender for IoT
下表列出一些一般攻擊及其對應的訊號來源 Microsoft Defender 全面偵測回應。
| 攻擊和事件 | 訊號源 |
|---|---|
| 雲端身分:密碼噴灑、多次失敗嘗試、短時間內嘗試登入多個裝置、多次首次登入、最近作用中的使用者帳戶 | Microsoft Entra ID Protection |
| 內部部署身分識別 (AD DS) 入侵 | 適用於身分識別的 Defender |
| 網路釣魚 | 適用於 Office 365 的 Defender |
| 惡意應用程式 | 具有應用程式控管附加元件的 Defender for Cloud Apps 或 Defender for Cloud Apps |
| 端點 (裝置) 入侵 | 適用於端點的 Defender |
| 支援 IoT 的裝置入侵 | 適用於 IoT 的 Defender |
篩選勒索軟體識別的事件
您可以輕鬆地篩選事件佇列,以取得已由 Microsoft Defender 全面偵測回應分類為勒索軟體之事件。
- 從 Microsoft Defender 入口網站導覽窗格中,選取 [事件和警示 > 事件] ,移至事件佇列。
- 選取 [篩選]。
- 在 [類別] 底下,選取 [ 勒索軟體],選取 [套用],然後關閉 [篩選] 窗格。
事件佇列的每個篩選設定都會建立一個 URL,您可以稍後儲存並存取該 URL。 這些 URL 可以添加書籤或以其他方式保存,並在需要時單擊即可使用。 例如,您可以為以下項目建立書籤:
- 包含「勒索軟體」類別的事件。 這是相應的 鏈接。
- 具有已知正在執行勒索軟體攻擊的指定 動作者 名稱的事件。
- 具有已知用於勒索軟體攻擊的指定 相關聯威脅 名稱的事件。
- 包含自訂標籤的事件,您的 SecOps 小組會將其用於已知是大型協調勒索軟體攻擊一部分的事件。
篩選勒索軟體識別的威脅分析報告
與篩選事件佇列中的事件類似,您可以篩選包含勒索軟體的報告的威脅分析報告。
- 從導覽窗格中,選取 [威脅分析]。
- 選取 [篩選]。
- 在 [威脅標籤] 底下,選取 [ 勒索軟體],選取 [ 套用],然後關閉 [篩選] 窗格。
您也可以點擊此連結。
從許多威脅分析報告的 [偵測詳細資料] 區段中,您可以看到針對威脅建立的警示名稱清單。
Microsoft Defender XDR API
您也可以使用 Microsoft Defender 全面偵測回應 API 來查詢租使用者中的 Microsoft Defender 全面偵測回應 事件和警示資料。 自訂應用程式可以篩選資料,根據自訂設定進行篩選,然後提供警示和事件的篩選連結清單,您可以輕鬆選取這些連結以直接移至該警示或事件。 請參閱 列出 Microsoft Defender 全面偵測回應中的事件 API|Microsoft Docs。您也可以將 SIEM 與 Microsoft Defender 整合,請參閱 將 SIEM 工具與 Microsoft Defender 全面偵測回應 整合。
Microsoft Defender 全面偵測回應 Sentinel 整合
Microsoft Sentinel 的 Microsoft Defender 全面偵測回應事件整合可讓您將所有 Microsoft Defender 全面偵測回應事件串流至 Microsoft Sentinel,並讓它們在兩個入口網站之間保持同步。 事件包括所有相關聯的警示、實體和相關資訊。 進入 Sentinel 之後,事件會與 Microsoft Defender 全面偵測回應保持雙向同步處理,讓您在事件調查中利用這兩個入口網站的優點。 請參閱 Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 的整合。
主動掃描和進階搜尋
進階搜捕 是一種以查詢為基礎的威脅搜捕工具,可讓您探索和檢查網路中的事件,以找出威脅指標和實體。 這種靈活且可自訂的分析工具可以不受限制地搜尋已知和潛在威脅。 Microsoft Defender 全面偵測回應也支援使用自定義查詢來建立自定義偵測規則,這些規則會根據查詢建立警示,並排程自動執行。
若要主動掃描勒索軟體活動,您應該針對身分識別、端點、應用程式和數據的常用勒索軟體攻擊方法,組裝進階搜捕查詢目錄。 以下是現成進階搜捕查詢的一些重要來源:
自動搜尋
進階搜捕查詢也可用來根據勒索軟體攻擊方法的已知元素來建立自訂偵測規則和動作,例如,使用不尋常的 PowerShell 命令 () 。 自訂偵測規則會建立安全分析師可以查看和解決的警示。
若要建立自定義偵測規則,請從進階搜捕查詢的頁面選取 [ 建立自訂偵測 規則]。 建立後,您可以指定:
- 執行自訂偵測規則的頻率
- 規則所建立警示的嚴重性
- 已建立警示的 MITRE 攻擊階段
- 受影響的實體
- 對受影響實體採取的動作
讓您的 SecOps 小組做好準備,以進行集中的勒索軟體偵測
讓您的 SecOps 團隊做好準備以進行主動勒索軟體偵測需要:
- SecOps 小組和組織的前期工作
- 視需要進行安全分析師培訓
- 持續的營運工作,以納入安全性分析師的最新攻擊和偵測體驗
SecOps 小組和組織的前期工作
請考慮下列步驟,讓您的 SecOps 小組和組織準備好進行集中的勒索軟體攻擊防護:
- 使用 快速部署勒索軟體防護 - 階段 3:讓難以取得 指引來設定您的 IT 和雲端基礎結構以防範勒索軟體。 本指南中的階段和工作可以與下列步驟平行完成。
- 取得適用於端點的 Defender、適用於 Office 365 的 Defender、適用於身分識別的 Defender Defender for Cloud Apps、應用程式控管附加元件、適用於 IoT 的 Defender 和 Microsoft Entra ID Protection 服務的適當授權。
- 組裝針對已知勒索軟體攻擊方法或攻擊階段進行調整的進階搜捕查詢目錄。
- 為特定的進階搜捕查詢建立一組自訂偵測規則,以建立已知勒索軟體攻擊方法的警示,包括其排程、警示命名和自動化動作。
- 確定一組 自訂標籤 或標準以建立新標籤或標準,以識別已知是更大規模、協調的勒索軟體攻擊一部分的事件
- 決定勒索軟體事件和警示管理的作業工作集。 例如:
- 第 1 層分析師掃描傳入事件和警示的流程,並將指派給第 2 層分析師進行調查。
- 手動執行進階搜捕查詢及其排程 (每日、每週、每月) 。
- 根據勒索軟體攻擊調查和風險降低體驗進行的持續變更。
安全分析師培訓
視需要,您可以為安全分析師提供以下內部培訓:
- 常見的勒索軟體攻擊鏈 (MITRE 攻擊策略以及常見的威脅技術和惡意軟體)
- 事件和警示,以及如何使用下列動作在 Microsoft Defender 入口網站中尋找和分析它們:
- Microsoft Defender 全面偵測回應已建立的警示和事件
- Microsoft Defender 入口網站預先掃描的 URL 型篩選
- 透過事件 API 以程式設計方式
- 要使用的高級狩獵查詢及其手動排程 (每天、每週、每月)
- 要使用的自訂偵測規則及其設定
- 自訂事件標籤
- Microsoft Defender 入口網站中勒索軟體攻擊的最新威脅分析報告
基於操作學習和新威脅的持續工作
作為 SecOps 小組持續工具和程式最佳做法以及安全性分析師體驗的一部分,您應該:
- 使用下列方式更新進階搜捕查詢的目錄:
- 以 Microsoft Defender 入口網站或進階搜捕 GitHub 存放庫中最新威脅分析報告為基礎的新查詢。
- 對現有的更改以優化威脅識別或提高警報質量。
- 根據新的或變更的進階搜捕查詢來更新自訂偵測規則。
- 更新勒索軟體偵測的作業工作集。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。