回應勒索軟體攻擊

注意事項

想要體驗 Microsoft Defender 全面偵測回應 嗎？ 深入瞭解如何評估和試驗 Microsoft Defender 全面偵測回應。

當您懷疑您目前遭受勒索軟體攻擊時，請立即與事件回應小組建立安全通訊。 他們可以執行下列回應階段來中斷攻擊並減輕損害：

• 調查和內含專案
• 消除和復原

本文提供回應勒索軟體攻擊的一般化劇本。 請考慮將本文中所述的步驟和工作調整為您自己的安全性作業劇本。 注意：如需防止勒索軟體攻擊的相關信息，請 參閱快速部署勒索軟體防護。

遏制措施

內含專案和調查應該儘可能同時發生;不過，您應該專注於快速達成內含專案，以便有更多時間進行調查。 這些步驟可協助您判斷攻擊的範圍，並將其隔離為僅受影響的實體，例如用戶帳戶和裝置。

步驟 1：評估事件的範圍

請執行此問題和工作清單，以探索攻擊的範圍。 Microsoft Defender 全面偵測回應 可以提供所有受影響或有風險資產的合併檢視，以協助您進行事件回應評估。 請參閱使用 Microsoft Defender 全面偵測回應 的事件回應。 您可以使用警示和事件中的辨識項清單來判斷：

• 哪些用戶帳戶可能遭到入侵？
  • 哪些帳戶用來傳遞承載？
• 哪些 已上線 和 探索到 的裝置會受到影響，以及如何？
  • 原始裝置
  • 受影響的裝置
  • 可疑的裝置
• 識別與事件相關聯的任何網路通訊。
• 哪些應用程式受到影響？
• 哪些承載已散佈？
• 攻擊者如何與遭入侵的裝置通訊？ (必須 啟用 網路保護) ：
  • 如果您有該資訊) ，請移至 指標頁面 以新增IP和URL (區塊。
• 什麼是承載傳遞媒體？

步驟 2：保留現有的系統

執行此工作和問題清單，以保護現有系統免於遭受攻擊：

• 如果您有在線備份，請考慮中斷備份系統與網路的連線，直到您確信攻擊已包含在內為止，請參閱備份和還原計劃以防止勒索軟體 |Microsoft Docs。
• 如果您遇到或預期即將進行且有效的勒索軟體部署：
  • 暫止 您懷疑屬於攻擊一部分的特殊許可權和本機帳戶。 您可以從 Microsoft Defender 入口網站中事件屬性的 [使用者] 索引標籤執行此動作。
  • 停止所有 遠端登錄會話。
  • 重設遭入侵的使用者帳戶密碼，並要求遭入侵用戶帳戶的使用者再次登入。
  • 針對可能遭到入侵的用戶帳戶執行相同的動作。
  • 如果共用本機帳戶遭到入侵，請讓IT系統管理員協助您在所有公開的裝置上強制執行密碼變更。 範例 Kusto 查詢：

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• 對於尚未隔離且不屬於重要基礎結構的裝置：
  • 隔離遭入侵的裝置與網路，但不要將其關閉。
  • 如果您識別原始或散佈器裝置，請先隔離這些裝置。
• 保留遭入侵的系統以進行分析。

步驟 3：防止散佈

使用此清單可防止攻擊散佈至其他實體。

• 如果共用本機帳戶正在攻擊中使用，請考慮 封鎖本機帳戶的遠端使用。
  • Kusto 查詢所有屬於本機系統管理員的網路登入：

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• 對於大多數網路而言，非 RDP 登入的 Kusto 查詢 (更實際) ：

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• 隔離並新增受感染檔案的指標。
• 確定您的防病毒軟體解決方案可在其最佳保護狀態中設定。 針對 Microsoft Defender 防病毒軟體，這包括：
  • 已啟用即時保護。
  • 已啟用竄改保護。 在 Microsoft Defender 入口網站中，選取 [設定>端點>進階功能>竄改保護]。
  • 已啟用受攻擊面縮小規則。
  • 已 啟用雲端保護。
• 停用 Exchange ActiveSync和 OneDrive 同步處理。
  • 若要停用信箱的 Exchange ActiveSync，請參閱如何停用 Exchange Online 中使用者的 Exchange ActiveSync。
  • 若要停用其他類型的信箱存取，請參閱：
    • 啟用或停用信箱的MAPI。
    • 啟用或停用使用者的 POP3 或 IMAP4 存取。
  • 暫停 OneDrive 同步處理 有助於保護您的雲端數據，避免可能受到感染的裝置更新。 如需詳細資訊，請 參閱 How to Pause and Resume sync in OneDrive。
• 在受影響的系統上套用相關的修補程式和組態變更。
• 使用內部和外部控件封鎖勒索軟體通訊。
• 清除快取的內容

調查

使用本節來調查攻擊並規劃您的回應。

評估您目前的情況

• 最初是什麼讓您知道勒索軟體攻擊？
  • 如果 IT 人員識別到初始威脅，例如注意到要刪除的備份、防病毒軟體警示、端點偵測和回應 (EDR) 警示，或可疑的系統變更，通常可以採取快速的測量措施來抵禦攻擊，通常是透過本文中所述的內含項目動作。
• 您第一次瞭解事件的日期和時間為何？
  • 該日期未在裝置上安裝哪些系統和安全性更新？ 請務必瞭解可能利用哪些弱點，以便在其他裝置上解決這些弱點。
  • 該日期使用了哪些用戶帳戶？
  • 自該日期起，已建立哪些新的用戶帳戶？
  • 在事件發生時，已新增哪些程式來自動啟動？
• 是否有任何指示指出攻擊者目前正在存取系統？
  • 是否有任何可疑的遭入侵系統發生異常活動？
  • 是否有任何可疑的遭入侵帳戶似乎正由敵人主動使用？
  • 在 EDR、防火牆、VPN、Web Proxy 和其他記錄中，是否有任何作用中命令控制 (C2) 伺服器的辨識項？

識別勒索軟體程式

• 使用 進階搜捕，在其他裝置上的進程建立事件中搜尋已識別的進程。

在受感染的裝置中尋找公開的認證

• 對於認證可能遭到入侵的用戶帳戶，請重設帳戶密碼，並要求使用者再次登入。
• 下列 IIA 可能表示橫向移動：

按兩下以展開

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Mimikatz Defender Amplifier
• PARINACOTA 所使用的網路掃描工具
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• 進程存取 Lsass
• 可疑的 Rundll32 進程執行
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMalicisCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• odbcconf 的可疑 DLL 註冊
• 可疑的 DPAPI 活動
• 可疑的交換程序執行
• 可疑的排程工作啟動
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• 未受信任的應用程式會開啟 RDP 連線

識別因事件而無法使用的企業營運 (LOB) 應用程式

• 應用程式是否需要身分識別？
  • 如何執行驗證？
  • 如何儲存和管理憑證或秘密等認證？
• 應用程式的評估備份、其組態及其數據是否可供使用？
• 判斷您的入侵復原程式。

消除和復原

使用下列步驟來消除威脅並復原損毀的資源。

步驟 1：驗證備份

如果您有離線備份，則在您已從環境中移除勒索軟體承載 (惡意代碼) ，並在確認 Microsoft 365 租用戶中沒有未經授權的存取之後，可能還原已加密的數據。

步驟 2：新增指標

新增任何已知的攻擊者通道作為指標，在防火牆、Proxy 伺服器和端點中封鎖。

步驟 3：重設遭入侵的使用者

重設任何已知遭入侵用戶帳戶的密碼，並需要新的登入。

• 請考慮重設具有廣泛系統管理授權的任何特殊許可權帳戶的密碼，例如 Domain Admins 群組的成員。
• 如果攻擊者可能已建立用戶帳戶，請停用帳戶。 除非沒有針對事件執行安全性鑑識的計劃，否則請勿刪除帳戶。

步驟 4：隔離攻擊者控制點

將企業內部任何已知的攻擊者控制點與因特網隔離。

步驟 5：移除惡意代碼

從受影響的裝置移除惡意代碼。

• 在所有可疑的計算機和裝置上執行完整的目前防病毒軟體掃描，以偵測並移除與勒索軟體相關聯的承載。
• 別忘了掃描同步處理數據或對應網路驅動器機目標的裝置。

步驟 6：復原已清理裝置上的檔案

復原已清理裝置上的檔案。

• 您可以在 Windows 7 的 Windows 11、Windows 10、Windows 8.1 和系統保護中使用檔案歷程記錄，嘗試復原本機檔案和資料夾。

步驟 7：復原 商務用 OneDrive 中的檔案

復原 商務用 OneDrive 中的檔案。

• 商務用 OneDrive 中的檔案還原可讓您將整個 OneDrive 還原至過去 30 天內的前一個時間點。 欲了解詳細資訊，請參閱還原 OneDrive。

步驟 8：復原已刪除的電子郵件

復原已刪除的電子郵件。

• 在勒索軟體刪除信箱中所有電子郵件的罕見情況下，您可以復原已刪除的專案。 請參閱在 Exchange Online 中復原使用者信箱中已刪除的郵件。

步驟 9：重新啟用 Exchange ActiveSync 和 OneDrive 同步處理

• 清除計算機和裝置並復原數據之後，您可以重新啟用先前在內含專案步驟 3 中停用的 Exchange ActiveSync 和 OneDrive 同步處理。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。