Microsoft DART 勒索軟體方法和最佳做法

人為操作的勒索軟體 不是惡意軟體問題 - 這是人類犯罪問題。 用來解決商品問題的解決方案不足以防止更類似國家威脅執行者的威脅：

• 在加密檔案之前停用或卸載防病毒軟體
• 停用安全性服務和記錄以避免偵測
• 在傳送贖金要求之前，找出並損毀或刪除備份

這些動作通常是使用您可能已在環境中為系統管理目的而擁有的合法程式來完成。 在犯罪手中，這些工具是惡意地用來進行攻擊。

回應勒索軟體日益嚴重的威脅需要新式企業設定、最新的安全性產品，以及經過訓練的安全性人員在數據遺失前偵測及回應威脅的警惕。

Microsoft 偵測與回應小組 （DART） 會回應安全性危害，協助客戶變得具有網路彈性。 DART 提供現場反應式事件回應和遠端主動式調查。 DART 使用 Microsoft 與世界各地的安全性組織與內部 Microsoft 產品群組的戰略合作關係，盡可能提供最完整且徹底的調查。

本文說明 DART 如何處理 Microsoft 客戶的勒索軟體攻擊，以便您可以考慮為自己的安全性作業劇本套用其方法和最佳做法的元素。

如需詳細數據，請參閱下列各節：

• DART 如何使用 Microsoft 安全性服務
• 進行勒索軟體事件調查的 DART 方法
• DART 建議和最佳做法

注意

本文內容衍生自 對抗人為操作勒索軟體的指南：第 1 部分和 對抗人為操作勒索軟體的指南：第 2 部分 Microsoft 安全性小組部落格文章。

DART 如何使用 Microsoft 安全性服務

DART 高度依賴數據來進行所有調查，並使用 Microsoft 安全性服務的現有部署，例如 適用於 Office 365 的 Microsoft Defender、適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender、 和 適用於雲端的 Microsoft Defender Apps。

適用於端點的 Defender

適用於端點的 Defender 是 Microsoft 的企業端點安全性平臺，其設計目的是協助企業網路安全性分析師防止、偵測、調查及回應進階威脅。 適用於端點的Defender可以使用進階行為分析和機器學習來偵測攻擊。 您的分析師可以使用適用於端點的Defender進行攻擊者行為分析。

以下是傳遞票證攻擊 適用於端點的 Microsoft Defender 警示的範例。

您的分析師也可以執行進階搜捕查詢，以找出入侵指標（IOC），或在識別威脅執行者群組時搜尋已知行為。

以下是如何使用進階搜捕查詢來找出已知攻擊者行為的範例。

在適用於端點的 Defender 中，您可以存取即時專家層級的監視和分析服務，Microsoft 威脅專家 進行中可疑的動作項目活動。 您也可以視需要與專家共同作業，以深入瞭解警示和事件。

以下是適用於端點的Defender如何顯示詳細的勒索軟體活動的範例。

適用於身分識別的 Defender

您可以使用適用於身分識別的 Defender 來調查已知的遭入侵帳戶，並找出組織中可能遭入侵的帳戶。 適用於身分識別的 Defender 會針對動作項目經常使用的已知惡意活動傳送警示，例如 DCSync 攻擊、遠端程式代碼執行嘗試，以及傳遞哈希攻擊。 適用於身分識別的 Defender 可讓您找出可疑的活動和帳戶，以縮小調查範圍。

以下是適用於身分識別的 Defender 如何針對與勒索軟體攻擊相關的已知惡意活動傳送警示的範例。

適用於雲端應用程式的 Defender

適用於雲端的 Defender Apps（先前稱為 Microsoft 雲端 App 安全性）可讓您的分析師偵測雲端應用程式之間的異常行為，以識別勒索軟體、遭入侵的使用者或流氓應用程式。 適用於雲端的 Defender Apps 是 Microsoft 的雲端存取安全性代理程式 （CASB） 解決方案，可讓使用者監視雲端服務和雲端服務中的數據存取。

以下是 適用於雲端的 Defender Apps 儀錶板的範例，可讓您分析跨雲端應用程式偵測不尋常的行為。

Microsoft 安全分數

一組 Microsoft Defender 全面偵測回應 服務提供即時補救建議，以減少受攻擊面。 Microsoft 安全分數是組織安全性狀態的度量，數位較高，表示已採取更多改進動作。 請參閱安全 分數 檔，以深入瞭解貴組織如何使用這項功能來排定以其環境為基礎的補救動作的優先順序。

進行勒索軟體事件調查的 DART 方法

您應該盡一切努力判斷敵人如何取得資產的存取權，以便補救弱點。 否則，未來很可能再次發生相同類型的攻擊。 在某些情況下，威脅執行者會採取步驟來涵蓋其追蹤和終結證據，因此整個事件鏈結可能並不明顯。

以下是 DART 勒索軟體調查中的三個重要步驟：

步驟	Goal	初始問題
1.評估目前的情況	瞭解範圍	最初是什麼讓您知道勒索軟體攻擊？ 您第一次瞭解事件的時間/日期為何？ 有哪些記錄可供使用，而且是否有任何指示動作專案目前正在存取系統？
2.識別受影響的企業營運 （LOB） 應用程式	讓系統重新上線	應用程式是否需要身分識別？ 應用程式、組態和資料備份是否可用？ 使用還原練習定期驗證備份的內容和完整性嗎？
3. 判斷入侵復原 （CR） 程式	從環境中移除攻擊者的控制	N/A

步驟 1：評估目前的情況

對目前情況的評估對於瞭解事件的範圍和確定協助和規劃調查和補救工作的最佳人員至關重要。 詢問下列初始問題對於協助判斷情況至關重要。

最初是什麼讓您知道勒索軟體攻擊？

如果您的 IT 人員識別出初始威脅，例如注意到正在刪除的備份、防毒警示、端點偵測及回應（EDR） 警示或可疑的系統變更，通常可以採取快速果斷措施來挫敗攻擊，通常是藉由停用所有輸入和輸出因特網通訊。 此威脅可能會暫時影響商務作業，但這通常比部署勒索軟體的敵人影響要小得多。

如果使用者呼叫 IT 技術服務人員識別出威脅，可能會有足夠進階的警告採取防禦措施，以防止或最小化攻擊的影響。 如果執法或金融機構等外部實體識別出威脅，則可能已經造成損害，而且您會在環境中看到威脅執行者對您的網路有系統管理控制權的證據。 此證據的範圍可以從勒索軟體筆記、鎖定的螢幕或贖金要求不等。

您第一次瞭解事件的日期/時間為何？

建立初始活動日期和時間很重要，因為它有助於縮小初始分級的範圍，讓攻擊者快速獲勝。 其他問題可能包括：

• 該日期遺漏了哪些更新？ 請務必了解對手可能利用哪些弱點。
• 該日期使用了哪些帳戶？
• 自該日期以來，已建立哪些新帳戶？

有哪些記錄可供使用，而且是否有任何指示動作專案目前正在存取系統？

記錄 - 例如防病毒軟體、EDR 和虛擬專用網 （VPN）-是可疑入侵的指標。 後續問題可能包括：

• 在安全性資訊與事件管理 （SIEM） 解決方案中匯總記錄，例如 Microsoft Sentinel、Splunk、ArcSight 和其他和目前？ 此數據的保留期間為何？
• 是否有任何可疑的遭入侵系統發生異常活動？
• 是否有任何可疑的遭入侵帳戶似乎被敵人主動使用？
• EDR、防火牆、VPN、Web Proxy 和其他記錄中是否有任何作用中命令和控件 （C2s） 的證據？

在評估目前情況時，您可能需要未遭入侵的 Active Directory 網域服務 （AD DS） 域控制器、域控制器最近的備份，或最近離線進行維護或升級的域控制器。 同時判斷公司中每個人是否需要 多重要素驗證 （MFA）， 以及是否 使用 Microsoft Entra ID 。

步驟 2：識別因事件而無法使用的 LOB 應用程式

此步驟對於在取得所需的證據的同時，找出讓系統回到在線最快的方式至關重要。

應用程式是否需要身分識別？

• 如何進行驗證？
• 如何儲存和管理憑證或秘密等認證？

測試的應用程式、組態和資料備份是否可供使用？

• 使用還原練習定期驗證備份的內容和完整性嗎？ 這項檢查在組態管理變更或版本升級之後特別重要。

步驟 3：判斷入侵復原程式

如果您已判斷控制平面通常是AD DS已遭入侵，則可能需要此步驟。

您的調查應該一律有提供直接饋送至CR程序的輸出的目標。 CR 是將攻擊者從環境中移除控制權的程式，並在一段期間內以戰術方式增加安全性狀態。 CR 會在安全性后遭到入侵。 若要深入瞭解 CR，請閱讀 Microsoft Compromise Recovery Security Practice Team 的 CRSP：在客戶 部落格文章旁對抗網路攻擊的緊急小組。

收集步驟 1 和 2 中問題的響應之後，您可以建置工作清單並指派擁有者。 成功事件響應參與的一個關鍵因素是每個工作專案的完整詳細檔（例如擁有者、狀態、結果、日期和時間），使參與結束時的調查結果編譯成為一個直接的程式。

DART 建議和最佳做法

以下是內含專案和事件后活動的建議和最佳做法。

Containment

內含專案只能在您判斷需要包含的內容之後發生。 在勒索軟體的情況下，敵人的目標是取得認證，以允許對高可用性伺服器進行系統管理控制，然後部署勒索軟體。 在某些情況下，威脅執行者會識別敏感數據，並將其外泄至其控制的位置。

戰術復原對於貴組織的環境、產業和IT專業知識和經驗層級而言是獨一無二的。 針對組織可採取短期和戰術內含步驟，建議使用下列步驟。 若要深入瞭解長期指引，請參閱 保護特殊許可權存取。 如需勒索軟體和敲詐勒索的全方位檢視，以及如何準備和保護您的組織，請參閱 人為操作的勒索軟體。

當探索到新的威脅向量時，可以同時執行下列內含專案步驟。

步驟 1：評估情況的範圍

• 哪些用戶帳戶遭到入侵？
• 哪些裝置受到影響？
• 哪些應用程式受到影響？

步驟 2：保留現有的系統

• 停用所有特殊許可權用戶帳戶，但系統管理員所使用的少數帳戶可協助重設 AD DS 基礎結構的完整性。 如果您認為用戶帳戶遭到入侵，請立即將其停用。
• 隔離遭入侵的系統與網路，但不要將其關閉。
• 在每個網域 2 中隔離至少一個已知的良好域控制器會更好。 請將其與網路中斷連線，或完全關閉它們。 物件是阻止勒索軟體傳播到關鍵系統身分識別是最脆弱者之一。 如果您的所有域控制器都是虛擬的，請確定虛擬化平臺的系統和數據磁碟驅動器會備份到未連線到網路的離線外部媒體，以防虛擬化平臺本身遭到入侵。
• 隔離重要的已知良好應用程式伺服器，例如 SAP、組態管理資料庫 （CMDB）、計費和會計系統。

這兩個步驟可以同時完成，因為探索到新的威脅向量。 停用這些威脅向量，然後嘗試尋找已知良好的系統來隔離網路。

其他戰術內含動作可能包括：

• 重設 krbtgt 密碼，連續兩次。 請考慮使用 腳本化、可重複的程式。 此腳本可讓您重設 krbtgt 帳戶密碼和相關密鑰，同時將作業所造成 Kerberos 驗證問題的可能性降至最低。 為了將潛在問題降到最低，krbtgt 存留期可以在第一次密碼重設之前減少一或多次，以便快速完成兩次重設。 請注意，您打算保留在環境中的所有域控制器都必須處於在線狀態。

• 將組策略部署到整個網域，以防止特殊許可權登入（網域 管理員）部署到域控制器和僅限系統管理工作站以外的任何工作（如果有的話）。

• 安裝作業系統和應用程式的所有遺漏安全性更新。 每個遺漏的更新都是攻擊者可以快速識別和惡意探索的潛在威脅向量。 適用於端點的 Microsoft Defender威脅和弱點管理提供簡單的方式來查看遺漏的內容，以及遺漏更新的潛在影響。

  • 針對 Windows 10 （或更新版本）裝置，請確認目前版本 （或 n-1） 正在每個裝置上執行。

  • 部署 受攻擊面縮小 （ASR） 規則 以防止惡意代碼感染。

  • 啟用所有 Windows 10 安全性功能。

• 檢查每個外部面向應用程式，包括 VPN 存取，都受到多重要素驗證的保護，最好是使用在安全裝置上執行的驗證應用程式。

• 對於未使用適用於端點的 Defender 作為主要防病毒軟體的裝置，請在隔離的已知良好系統上執行完整掃描，Microsoft 安全掃描工具，再將它們重新連線到網路。

• 對於任何舊版操作系統，請升級至支援的OS或解除委任這些裝置。 如果這些選項無法使用，請採取每個可能措施隔離這些裝置，包括網路/VLAN 隔離、因特網通訊協定安全性 （IPsec） 規則和登入限制，因此使用者/裝置只能存取應用程式以提供商務持續性。

風險最高的組態包括舊版操作系統上執行任務關鍵系統，如舊版 Windows NT 4.0 和應用程式，全都位於舊版硬體上。 這些操作系統和應用程式不僅不安全且易受攻擊，如果該硬體失敗，備份通常無法在新式硬體上還原。 除非更換舊版硬體可用，否則這些應用程式將無法運作。 強烈建議您轉換這些應用程式，以在目前的操作系統和硬體上執行。

事件後活動

DART 建議在每個事件之後實作下列安全性建議和最佳做法。

• 確保電子郵件和共同作業解決方案的最佳做法已就緒，讓攻擊者更難濫用它們，同時允許內部使用者輕鬆且安全地存取外部內容。

• 請遵循 零信任 內部組織資源遠端存取解決方案的安全性最佳做法。

• 從重大影響系統管理員開始，請遵循帳戶安全性的最佳做法，包括使用 無密碼驗證 或 MFA。

• 實作全面策略，以降低特殊許可權存取入侵的風險。

  • 針對雲端和樹系/網域系統管理存取，請使用 Microsoft 的特殊許可權存取模型 （PAM）。

  • 針對端點系統管理，請使用本機系統管理密碼解決方案 （LAPS）。

• 實作數據保護來封鎖勒索軟體技術，並確認從攻擊中快速且可靠的復原。

• 檢閱您的重要系統。 檢查保護與備份，以防止故意清除或加密攻擊者。 請務必定期測試及驗證這些備份。

• 確保快速偵測和補救端點、電子郵件和身分識別上常見的攻擊。

• 主動探索並持續改善環境的安全性狀態。

• 更新組織程式來管理主要勒索軟體事件，並簡化外包以避免摩擦。

PAM

使用 PAM（先前稱為階層式系統管理模型）可增強 Microsoft Entra ID 的安全性狀態，其中包括：

• 針對每個層級，在「已規劃」的環境中分出系統管理帳戶-一個帳戶，通常為四個：

• 控制平面（先前稱為第 0 層）：域控制器和其他重要身分識別服務的 管理員，例如 Active Directory 同盟服務 （ADFS） 或 Microsoft Entra 連線，它也包含需要 AD DS 系統管理許可權的伺服器應用程式，例如 Exchange Server。

• 接下來的兩架飛機是前第1層：

  • 管理平面：資產管理、監視和安全性。

  • 數據/工作負載平面：應用程式和應用程式伺服器。

• 接下來的兩架飛機是前第 2 層：

  • 使用者存取：用戶的訪問許可權（例如帳戶）。

  • 應用程式存取：應用程式的訪問許可權。

• 每一個平面都有個別的系統管理工作站，每個平面，而且只能存取該平面中的系統。 其他平面的其他帳戶會透過設定為這些計算機的用戶權力指派，拒絕存取其他平面中的工作站和伺服器。

PAM 的凈結果如下：

• 遭入侵的用戶帳戶只能存取其所屬的平面。

• 更敏感的用戶帳戶不會登入具有較低平面安全性層級的工作站和伺服器，進而減少橫向移動。

LAPS

根據預設，Microsoft Windows 和 AD DS 在工作站和成員伺服器上沒有本機系統管理帳戶的集中式管理。 這可能會導致針對所有這些本機帳戶，或至少在計算機群組中提供一般密碼。 這種情況可讓攻擊者入侵一個本機系統管理員帳戶，然後使用該帳戶來存取組織中的其他工作站或伺服器。

Microsoft 的 LAPS 會使用組策略用戶端擴充功能，根據原則集，定期變更工作站和伺服器上的本機系統管理密碼，以減輕這種情況。 這些密碼各有不同，並儲存為 AD DS 計算機物件中的屬性。 您可以根據指派給該屬性的許可權，從簡單的用戶端應用程式擷取此屬性。

LAPS 需要擴充 AD DS 架構，以允許額外的屬性、要安裝的 LAPS 組策略範本，以及每個工作站和成員伺服器上要安裝的小型用戶端擴充功能，以提供用戶端功能。

您可以從 Microsoft 下載中心取得 LAPS。

其他勒索軟體資源

來自 Microsoft 的重要資訊：

• Microsoft On the Issues 部落格文章 2021 年 7 月 20 日勒索軟體的威脅越來越大
• 人為操作的勒索軟體
• 快速防範勒索軟體和敲詐勒索
• 2021 Microsoft 數位防禦報告 （見第 10-19 頁）
• 勒索軟體：Microsoft Defender 入口網站中普遍且持續的威脅 威脅分析報告
• Microsoft DART 勒索軟體案例研究

Microsoft 365：

• 為您的 Microsoft 365 租使用者部署勒索軟體防護
• 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
• 從勒索軟體攻擊中復原
• 惡意代碼和勒索軟體防護
• 保護您的 Windows 10 計算機免於勒索軟體
• 在 SharePoint Online 中處理勒索軟體
• Microsoft Defender 入口網站中勒索軟體 的威脅分析報告

Microsoft Defender 全面偵測回應：

• 使用進階搜捕尋找勒索軟體

Microsoft Azure:

• 適用於勒索軟體攻擊的 Azure 防禦
• 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
• 備份和還原計劃以防範勒索軟體
• 使用 Microsoft Azure 備份 協助防止勒索軟體 （26 分鐘影片）
• 從系統性身分識別入侵中復原
• Microsoft Sentinel 中的進階多階段攻擊偵測
• Microsoft Sentinel 中勒索軟體的融合偵測

適用於雲端的 Microsoft Defender 應用程式：

• 在 適用於雲端的 Defender Apps 中建立異常偵測原則

Microsoft 安全性小組部落格文章：

• 防止和復原勒索軟體的三個步驟（2021 年 9 月）

• 對抗人類操作勒索軟體的指南：第1部分 （2021年9月）

  Microsoft DART 如何進行勒索軟體事件調查的重要步驟。

• 對抗人類操作勒索軟體的指南：第 2 部分 （2021 年 9 月）

  建議和最佳做法。

• 了解網路安全風險來變得具有彈性：第 4 部分流覽目前的威脅 （2021 年 5 月）

  請參閱勒索軟體一節。

• 人為操作的勒索軟體攻擊：可預防的災難（2020 年 3 月）

  包含實際攻擊的攻擊鏈結分析。

• 勒索軟體回應支付或不付款？ （2019年12月）

• Norsk Hydro 以透明度回應勒索軟體攻擊 （2019 年 12 月）