使用 Microsoft Defender XDR 偵測人為操控的勒索軟體攻擊
注意事項
想要體驗 Microsoft Defender 全面偵測回應 嗎? 深入瞭解如何評估和試驗 Microsoft Defender 全面偵測回應。
勒索軟體是一種惡意攻擊,會終結或加密檔案和資料夾,防止存取重要數據或中斷重要商務系統。 勒索軟體有兩種類型:
- 商用勒索軟體是利用網路釣魚散佈的惡意代碼,或在裝置之間散佈,並在要求勒索之前加密檔案。
- 人為操作的勒索軟體是由採用多種攻擊方法的主動式網路犯罪者所規劃且協調的攻擊。 在許多情況下,已知的技術和工具會用來滲透您的組織、尋找值得勒索的資產或系統,然後要求勒索。 入侵網路時,攻擊者會探查可加密或外泄的資產和系統。 攻擊者接著會先加密或外泄數據,再要求勒索。
本文說明如何使用 Microsoft Defender 入口網站主動偵測新的或進行中人為操作的勒索軟體攻擊、擴充偵測和回應 (下列安全性服務的 XDR) 解決方案:
- 適用於端點的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- Microsoft Defender for Cloud Apps (包括應用程式控管附加元件)
- Microsoft Entra ID Protection
- Microsoft Defender for IoT
- Microsoft 365 商務進階版
- 適用於企業的 Microsoft Defender
如需防止勒索軟體攻擊的相關信息,請 參閱快速部署勒索軟體防護 - 階段 3:讓您難以進入。
主動式偵測的重要性
由於人為操作的勒索軟體通常是由主動式攻擊者執行,而這些攻擊者可能正在執行即時滲透和探索最有價值數據和系統的步驟,因此偵測勒索軟體攻擊所花費的時間非常重要。
如果快速偵測到預先勒索活動,嚴重攻擊的可能性就會降低。 預先勒索階段通常包含下列技術:初始存取、偵察、認證竊取、橫向移動和持續性。 這些技術一開始看起來可能不相關,而且通常會在雷達圖下飛來飛去。 如果這些技術導致勒索階段,通常為太晚。 Microsoft Defender 全面偵測回應 可協助識別這些小型且看似不相關的事件,可能是較大勒索軟體活動的一部分。
- 在勒索前階段偵測到時,可以使用較小的風險降低措施,例如隔離受感染的裝置或使用者帳戶來中斷和補救攻擊。
- 如果偵測發生在較新的階段,例如部署用來加密檔案的惡意代碼時,可能會造成停機的更積極補救步驟可能需要用來中斷和補救攻擊。
回應勒索軟體攻擊時,可能會發生商務作業中斷。 勒索軟體攻擊的結束階段通常是主要風險攻擊者所造成的停機時間,或是可確保網路安全性的受控制停機時間,並提供您時間來完整調查。 我們絕對不建議支付勒索。 支付網路犯罪者以取得勒索軟體解密密鑰,不保證會還原加密的數據。 請參閱 勒索軟體回應 - Microsoft 安全性部落格。
以下是勒索軟體攻擊影響的質化關聯性,以及回應無偵測與主動式偵測和響應的時間。
透過常見的惡意代碼工具和技術進行主動式偵測
在許多情況下,人為操作的勒索軟體攻擊者會使用已知且現場測試的惡意代碼策略、技術、工具和程式,包括網路釣魚、商務電子郵件入侵 (BEC) ,以及認證竊取。 您的安全性分析師必須瞭解並熟悉攻擊者如何使用常見的惡意代碼和網路攻擊方法來取得組織中的據點。
若要查看勒索軟體攻擊如何開始使用常見惡意代碼的範例,請參閱下列資源:
熟悉預先勒索惡意代碼、承載和活動,可協助您的分析師瞭解要尋找什麼來防止攻擊的後續階段。
人為操作的勒索軟體攻擊策略
由於人為操作的勒索軟體可以使用已知的攻擊技術和工具,因此,當您的 SecOps 小組準備聚焦的勒索軟體偵測作法時,分析人員對於現有攻擊技術和工具的了解和體驗將是寶貴的資產。
攻擊策略和方法
以下是勒索軟體攻擊者針對下列 MITRE ATT&CK 策略所使用的一些典型技術和工具:
初始存取:
- RDP 暴力密碼破解
- 易受攻擊的因特網面向系統
- 弱式應用程式設定
- 網路釣魚電子郵件
認證竊取:
- Mimikatz
- LSA 秘密
- 認證保存庫
- 純文本中的認證
- 濫用服務帳戶
橫向移動:
- Cobalt Strike
- WMI
- 不當使用管理工具
- PsExec
堅持:
- 新帳戶
- GPO 變更
- 影子IT工具
- 排程工作
- 服務註冊
防禦規避:
- 停用安全性功能
- 清除記錄檔
- 刪除攻擊成品檔案
- 重設已改變檔案的時間戳
外流:
- 敏感數據外泄影響 (財務運用) :
- 就地加密和備份中的數據
- 刪除就地數據和備份,這可能會與先前的外泄結合
- 已外洩敏感數據的公用外洩威脅
要尋找什麼
對於安全性分析師來說,挑戰在於辨識警示何時是較大攻擊鏈結的一部分,目標是要勒索您的敏感數據或重要系統。 例如,偵測到的網路釣魚攻擊可能是:
- 一次性攻擊,用來代理組織財務部門中某人的電子郵件訊息。
- 攻擊鏈的預先勒索部分,用來使用遭入侵的使用者帳戶認證來探索使用者帳戶可用的資源,並以較高的許可權和存取權來入侵其他用戶帳戶。
本節提供常見的攻擊階段和方法,以及傳送至中央 Microsoft Defender 入口網站的訊號來源,這會建立由多個相關警示組成的警示和事件,以進行安全性分析。 在某些情況下,有其他安全性入口網站可檢視攻擊數據。
取得專案的初始攻擊
攻擊者嘗試入侵用戶帳戶、裝置或應用程式。
| 攻擊方法 | 訊號來源 | 替代安全性入口網站 |
|---|---|---|
| RDP 暴力密碼破解 | 適用於端點的 Defender | Defender for Cloud Apps |
| 易受攻擊的因特網面向系統 | 適用於伺服器的 Windows 安全性功能、Microsoft Defender | |
| 弱式應用程式設定 | 適用於雲端應用程式的Defender、適用於雲端應用程式的Defender與應用程式控管附加元件 | Defender for Cloud Apps |
| 惡意應用程式活動 | 適用於雲端應用程式的Defender、適用於雲端應用程式的Defender與應用程式控管附加元件 | Defender for Cloud Apps |
| 網路釣魚電子郵件 | 適用於 Office 365 的 Defender | |
| 針對 Microsoft Entra 帳戶的密碼噴射 | 透過適用於雲端應用程式的Defender Microsoft Entra ID Protection | Defender for Cloud Apps |
| 針對內部部署帳戶的密碼噴射 | 適用於身分識別的 Microsoft Defender | |
| 裝置遭入侵 | 適用於端點的 Defender | |
| 認證竊取 | 適用於身分識別的 Microsoft Defender | |
| 提高權限 | 適用於身分識別的 Microsoft Defender |
最近的尖峰,否則為一般行為
攻擊者正嘗試探查是否有其他實體遭到入侵。
| 尖峰類別 | 訊號來源 | 替代安全性入口網站 |
|---|---|---|
| 登入:嘗試多次失敗、在短時間內嘗試登入多個裝置、多次第一次登入等等。 | 透過適用於雲端應用程式的Defender Microsoft Entra ID Protection,適用於身分識別的 Microsoft Defender | Defender for Cloud Apps |
| 最近作用中的用戶帳戶、群組、計算機帳戶、應用程式 | Microsoft Entra ID Protection 透過適用於雲端應用程式的Defender (Microsoft Entra ID) 、適用於身分識別的Defender (Active Directory 網域服務[AD DS]) | Defender for Cloud Apps |
| 最近的應用程式活動,例如數據存取 | 搭配適用於雲端應用程式的Defender與應用程式控管附加元件的應用程式 | Defender for Cloud Apps |
新活動
攻擊者正在建立新的實體,以進一步觸達、安裝惡意代碼代理程式或規避偵測。
| 活動 | 訊號來源 | 替代安全性入口網站 |
|---|---|---|
| 已安裝的新應用程式 | 適用於雲端應用程式的Defender與應用程式控管附加元件 | Defender for Cloud Apps |
| 新的用戶帳戶 | Azure Identity Protection | Defender for Cloud Apps |
| 角色變更 | Azure Identity Protection | Defender for Cloud Apps |
可疑的行為
攻擊者正在下載敏感性資訊、加密檔案,或收集或破壞組織資產。
| 行為 | 訊號來源 |
|---|---|
| 惡意代碼散佈至多個裝置 | 適用於端點的 Defender |
| 資源掃描 | 適用於端點的Defender、適用於身分識別的Defender |
| 信箱轉寄規則中的變更 | 適用於 Office 365 的 Defender |
| 數據外洩和加密 | 適用於 Office 365 的 Defender |
-*監視敵人停用安全性** – 因為這通常是人類操作勒索軟體 (的一部分,) 攻擊鏈
- 事件記錄清除 – 特別是安全性事件記錄檔和 PowerShell 作業記錄
- 停用與某些群組相關聯的安全性工具/控件 ()
使用 Microsoft Defender 入口網站偵測勒索軟體攻擊
Microsoft Defender 入口網站提供集中式檢視,以了解偵測、受影響的資產、所採取的自動化動作,以及相關辨識項的組合:
- 事件佇列,將攻擊的相關警示分組,以提供完整的攻擊範圍、受影響的資產,以及自動化補救動作。
- 警示佇列,其中列出 Microsoft Defender 全面偵測回應 追蹤的所有警示。
事件和警示來源
Microsoft Defender 入口網站會從下列專案集中處理訊號:
- 適用於端點的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- Microsoft Defender for Cloud Apps (包括應用程式控管附加元件)
- Microsoft Entra ID Protection
- Microsoft Defender for IoT
下表列出一些典型的攻擊及其對應的 Microsoft Defender 全面偵測回應 訊號來源。
| 攻擊和事件 | 訊號來源 |
|---|---|
| 雲端身分識別:密碼噴射、多次失敗嘗試、嘗試在短時間內登入多個裝置、多次首次登入、最近使用中的用戶帳戶 | Microsoft Entra ID Protection |
| 內部部署身分識別 (AD DS) 入侵 | 適用於身分識別的 Defender |
| 網路釣魚 | 適用於 Office 365 的 Defender |
| 惡意應用程式 | 適用於雲端應用程式的Defender或適用於雲端應用程式的Defender與應用程式控管附加元件 |
| 端點 (裝置) 入侵 | 適用於端點的 Defender |
| 支援IoT的裝置入侵 | 適用於IoT的Defender |
篩選勒索軟體識別的事件
您可以輕鬆地篩選已由 Microsoft Defender 全面偵測回應 分類為勒索軟體的事件佇列。
- 從 Microsoft Defender 入口網站瀏覽窗格中,選取 [事件和警示>事件],以移至事件佇列。
- 選 取 [篩選]。
- 在 [ 類別] 底下,選取 [勒索軟體],選取 [ 套用],然後關閉 [ 篩選] 窗格。
事件佇列的每個篩選設定都會建立一個 URL,供您稍後儲存並存取為連結。 這些 URL 可以在按兩下時加上書籤或儲存,並在需要時使用。 例如,您可以為下列專案建立書籤:
- 包含「勒索軟體」類別的事件。 以下是對應的 連結。
- 具有指定 動作項目 名稱的事件,已知會執行勒索軟體攻擊。
- 具有已知用於勒索軟體攻擊之指定 相關威脅 名稱的事件。
- 事件,其中包含 SecOps 小組針對已知屬於較大、協調勒索軟體攻擊之事件所使用的自定義標籤。
篩選勒索軟體識別的威脅分析報告
類似於篩選事件佇列中的事件,您可以篩選威脅分析報告中包含勒索軟體的報告。
- 從瀏覽窗格中,選取 [ 威脅分析]。
- 選 取 [篩選]。
- 在 [ 威脅卷標] 底下,選取 [勒索軟體],選取 [ 套用],然後關閉 [ 篩選] 窗格。
您也可以按下此連結。
從許多威脅分析報告的 [ 偵測詳細 數據] 區段中,您可以看到針對威脅建立的警示名稱清單。
Microsoft Defender XDR API
您也可以使用 Microsoft Defender 全面偵測回應 API 來查詢租使用者中 Microsoft Defender 全面偵測回應 事件和警示數據。 自定義應用程式可以篩選數據、根據自定義設定進行篩選,然後提供已篩選的警示和事件連結清單,您可以輕鬆地選取這些連結直接前往該警示或事件。 請參閱在 Microsoft Defender 全面偵測回應 中列出事件 API |Microsoft Docs。您也可以將 SIEM 與 Microsoft Defender 整合,請參閱整合 SIEM 工具與 Microsoft Defender 全面偵測回應。
Microsoft Defender 全面偵測回應 Sentinel 整合
Microsoft Sentinel 的 Microsoft Defender 全面偵測回應 事件整合可讓您將所有 Microsoft Defender 全面偵測回應 事件串流至 Microsoft Sentinel,並讓事件在這兩個入口網站之間保持同步。 事件包括所有相關聯的警示、實體和相關信息。 一旦進入 Sentinel,事件會與 Microsoft Defender 全面偵測回應 保持雙向同步,讓您可以在事件調查中利用這兩個入口網站的優點。 請參閱 Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 整合。
使用進階搜捕進行主動式掃描
進階搜捕 是以查詢為基礎的威脅搜捕工具,可讓您探索和檢查網路中的事件,以找出威脅指標和實體。 此彈性且可自定義的分析工具可讓您針對已知和潛在威脅進行不受限制的搜捕。 Microsoft Defender 全面偵測回應 也支援使用自定義查詢來建立自定義偵測規則,以根據查詢建立警示,並排程自動執行。
若要主動掃描勒索軟體活動,您應該針對身分識別、端點、應用程式和數據的常用勒索軟體攻擊方法,組合進階搜捕查詢目錄。 以下是一些可供立即使用之進階搜捕查詢的主要來源:
自動搜捕
進階搜捕查詢也可用來根據勒索軟體攻擊方法的已知元素建立自定義偵測規則和動作 (例如,使用不尋常的PowerShell命令) 。 自定義偵測規則會建立可由安全性分析師查看和處理的警示。
若要建立自定義偵測規則,請從進階搜捕查詢的頁面中選取 Create 自定義偵測規則。 建立之後,您可以指定:
- 執行自定義偵測規則的頻率
- 規則所建立警示的嚴重性
- 已建立警示的 MITRE 攻擊階段
- 受影響的實體
- 對受影響的實體採取的動作
準備 SecOps 小組以進行焦點勒索軟體偵測
準備 SecOps 小組以進行主動式勒索軟體偵測需要:
- SecOps 小組和組織的預先工作
- 安全性分析師訓練,視需要
- 持續的作業工作,以納入安全性分析師的最新攻擊和偵測體驗
SecOps 小組和組織的預先工作
請考慮下列步驟,讓您的 SecOps 小組和組織準備好進行聚焦的勒索軟體攻擊防護:
- 使用 快速部署勒索軟體防護 - 階段 3:讓您難以取得 指引,為 IT 和雲端基礎結構設定勒索軟體防護。 本指引中的階段和工作可透過下列步驟平行完成。
- 取得適用於端點的 Defender、適用於 Office 365 的 Defender、適用於身分識別的 Defender、適用於雲端應用程式的 Defender、應用程式控管附加元件、適用於 IoT 的 Defender 和 Microsoft Entra ID Protection 服務的適當授權。
- 組合針對已知勒索軟體攻擊方法或攻擊階段進行微調的進階搜捕查詢目錄。
- Create 針對特定進階搜捕查詢建立已知勒索軟體攻擊方法警示的自定義偵測規則集,包括其排程、警示命名和自動化動作。
- 決定一組 自定義標籤 或標準,以建立新的標籤或標準,以識別已知屬於較大、協調的勒索軟體攻擊事件
- 判斷勒索軟體事件和警示管理的一組作業工作。 例如:
- 第 1 層分析師掃描傳入事件和警示的程式,並指派給第 2 層分析師進行調查。
- 手動執行進階搜捕查詢及其排程 (每日、每周、每月) 。
- 根據勒索軟體攻擊調查和風險降低體驗進行中的變更。
安全性分析師訓練
如有需要,您可以為安全性分析師提供內部訓練:
- 常見的勒索軟體攻擊鏈結 (MITRE 攻擊策略和常見的威脅技術和惡意代碼)
- 事件和警示,以及如何使用下列方式在 Microsoft Defender 入口網站中找出並分析事件和警示:
- Microsoft Defender 全面偵測回應 已建立的警示和事件
- Microsoft Defender 入口網站的預先掃描 URL 型篩選
- 以程序設計方式透過事件 API
- 要使用的進階搜捕查詢及其手動排程 (每日、每周、每月)
- 要使用的自定義偵測規則及其設定
- 自訂事件標籤
- 最新的威脅分析會在 Microsoft Defender 入口網站中報告勒索軟體攻擊
以作業學習和新威脅為基礎的進行中工作
作為 SecOps 小組進行中工具和處理最佳做法和安全性分析師體驗的一部分,您應該:
- 使用下列專案更新進階搜捕查詢目錄:
- 根據 Microsoft Defender 入口網站或進階搜捕 GitHub 存放庫中最新的威脅分析報告,進行新的查詢。
- 變更現有的變更,以優化威脅識別或提升警示品質。
- 根據新的或已變更的進階搜捕查詢,更新自定義偵測規則。
- 更新勒索軟體偵測的作業工作集。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。