Microsoft 事件响应团队勒索软件方法和最佳做法
人为操作的勒索软件不是恶意软件问题,而是人类犯罪问题。 用于解决商品问题的解决方案不足以防止更类似于国家/地区威胁行动者的威胁,该威胁行动者:
- 加密文件之前禁用或卸载防病毒软件
- 禁用安全服务和日志记录以避免检测
- 发送赎金要求之前查找并损坏或删除备份
这些操作通常使用合法程序(例如 2024 年 5 月的 Quick Assist)来执行,这些程序可能已经存在于你的环境中,用于管理用途。 在犯罪手中,这些工具用于进行攻击。
应对日益严重的勒索软件威胁需要结合现代企业配置、最新的安全产品和训练有素的安全人员,以便在数据丢失之前检测并应对威胁。
Microsoft 事件响应团队(前称为 DART/CRSP)响应安全威胁,以帮助客户获得网络复原能力。 Microsoft 事件响应提供现场反应事件响应和远程主动调查。 Microsoft 事件响应利用 Microsoft 与世界各地的安全组织和内部 Microsoft 产品组的战略合作关系,尽可能提供最完整的全面调查。
本文介绍 Microsoft 事件响应团队如何处理勒索软件攻击,以帮助指导 Microsoft 客户了解和制定自身安全操作手册的最佳实践。 有关 Microsoft 如何使用最新的 AI 来缓解勒索软件攻击的信息,请阅读我们的文章,了解 Microsoft Security Copilot 对勒索软件攻击的防御措施。
Microsoft 事件响应如何使用 Microsoft 安全服务
Microsoft事件响应严重依赖于所有调查的数据,并使用Microsoft安全服务,例如 Microsoft Defender for Office 365、Microsoft Defender for Endpoint、Microsoft Defender for Identity和 Microsoft Defender for Cloud Apps。
对于 Microsoft 事件响应团队最新的安全措施更新,请查看他们的 Ninja 中心。
用于终结点的 Microsoft Defender
Defender for Endpoint 是 Microsoft 的企业终结点安全平台,专门用于帮助企业网络安全分析师防御、检测、调查和响应高级威胁。 Defender for Endpoint 可以使用高级行为分析和机器学习来检测攻击。 分析人员可以使用 Defender for Endpoint 来评估威胁参与者行为分析。
分析人员还可以执行高级搜寻查询,以识别泄露指标或搜索已知的威胁参与者行为。
通过 Defender for Endpoint,可以实时访问 Microsoft Defender Experts 的专家监控和分析,从而了解正在进行的可疑参与者活动。 你还可以按需与专家协作,获得有关警报和事件的更多见解。
Microsoft Defender for Identity
Defender for Identity 调查已知的已泄露帐户,以识别组织中其他可能泄露的帐户。 Defender for Identity 发送已知恶意活动的警报,例如 DCSync 攻击、远程代码执行尝试和哈希传递攻击。
Microsoft Defender for Cloud Apps
Defender for Cloud Apps(以前称为 Microsoft Cloud App Security)允许分析人员检测云应用程序中的异常行为,以识别勒索软件、泄露的用户或恶意应用程序。 Defender for Cloud Apps 是Microsoft的云访问安全代理(CASB)解决方案,可用于监视云服务中用户访问的云服务和数据。
Microsoft 安全功能分数
Microsoft Defender XDR 服务提供实时修正建议,以减少攻击面。 Microsoft 安全功能分数是组织安全状况的度量值,数字越大表示已执行的改进操作越多。 阅读安全功能分数 文档,详细了解组织如何使用此功能确定其环境的修正操作的优先级。
执行勒索软件事件调查的 Microsoft 事件响应方法
确定威胁参与者如何获取对环境的访问权限对于识别漏洞、执行攻击缓解和防止将来的攻击至关重要。 在某些情况下,威胁参与者采取措施覆盖其轨迹并销毁证据,因此整个事件链可能不明显。
以下是 Microsoft 事件响应勒索软件调查中的三个关键步骤:
| 步骤 | 目标 | 初始问题 |
|---|---|---|
| 1. 评估当前状况 | 了解范围 | 最初是什么让你意识到勒索软件攻击? 你第一次得知该事件的时间/日期是什么? 有哪些日志可用,是否有任何迹象表明行动者当前正在访问系统? |
| 2. 识别受影响的业务线 (LOB) 应用 | 让系统恢复在线状态 | 应用程序是否需要标识? 应用程序、配置和数据的备份是否可用? 是否使用还原练习定期验证备份的内容和完整性? |
| 3. 确定入侵恢复 (CR) 过程 | 从环境中删除威胁参与者 | 空值 |
步骤 1:评估当前状况
对当前状况的评估对于了解事件的范围、确定最佳人员来协助以及规划和确定调查和修正任务的范围至关重要。 提出以下初始问题对于帮助确定情况的来源和程度至关重要。
你如何识别勒索软件攻击?
如果 IT 人员发现了初始威胁,例如已删除的备份、防病毒警报、终结点检测和响应(EDR)警报或可疑系统更改,则通常可以采取快速果断措施来挫败攻击。 这些措施通常涉及禁用所有入站和出站 Internet 通信。 虽然此度量值可能会暂时影响业务运营,但通常比成功的勒索软件部署影响要小得多。
如果用户致电 IT 支持人员发现了威胁,则可能有足够的提前警告,以便采取防御措施来防止或最大程度地减少攻击的影响。 如果执法或金融机构等外部实体发现了威胁,则可能已经造成了损害。 此时,威胁参与者可能对网络拥有管理控制权。 此证据的范围可以从勒索软件笔记到锁定的屏幕到赎金要求。
你第一次得知该事件的日期/时间是什么?
建立初始活动日期和时间对于缩小威胁执行组件活动的初始会审范围非常重要。 其他问题可能包括:
- 该日期缺少哪些更新? 必须识别任何被利用的漏洞。
- 该日期使用了哪些帐户?
- 自该日期以来已创建了哪些新帐户?
有哪些日志可用,是否有任何迹象表明行动者当前正在访问系统?
日志(例如防病毒、EDR 和虚拟专用网络 (VPN))可以显示可疑入侵的证据。 后续问题可能包括:
- 日志是否在安全信息和事件管理 (SIEM) 解决方案(如 Microsoft Sentinel、Splunk、ArcSight 等)和当前解决方案中聚合? 此数据的保留期多久?
- 是否有任何可疑的入侵系统遇到异常活动?
- 是否有任何可疑的泄露帐户似乎处于主动威胁参与者控制之下?
- EDR、防火墙、VPN、Web 代理和其他日志中是否有活动命令和控制 (C2) 的证据?
若要评估情况,可能需要一个未遭到攻击的 Active Directory 域服务 (AD DS) 域控制器、域控制器的最新备份或最近脱机进行维护或升级的域控制器。 此外,还确定公司中每个人是否需要多重身份验证 (MFA),以及是否使用了 Microsoft Entra ID。
步骤 2:识别因事件而无法使用的 LOB 应用
此步骤对于找出获取必要证据时使系统重新联机的最快速方法至关重要。
应用程序是否需要标识?
- 身份验证是如何执行的?
- 如何存储和管理证书或机密等凭证?
应用程序、配置和数据的经过测试的备份是否可用?
- 是否使用还原练习定期验证备份的内容和完整性? 配置管理更改或版本升级后,此检查非常重要。
步骤 3:确定入侵恢复过程
如果控制平面(通常是 AD DS)被入侵,可能需要执行此步骤。
你的调查应始终提供可直接馈送到 CR 流程的输出。 CR 是一种从环境中消除威胁参与者控制的过程,并在一定时间内从战术上提高安全态势。 CR 在安全漏洞后发生。 要了解有关 CR 的详细信息,请阅读 Microsoft 入侵恢复安全实践团队的 CRSP:紧急团队在客户旁边对抗网络攻击博客文章。
收集步骤 1 和步骤 2 中问题的答案后,可以生成任务列表并分配所有者。 成功的事件响应参与过程需要对每个工作项目(如所有者、状态、发现、日期和时间)进行详细记录,以汇总发现。
Microsoft 事件响应建议和最佳做法
下面是 Microsoft 事件响应关于包含和事后活动的建议和最佳做法。
遏制
只有在确定需要遏制的内容后,才能进行遏制。 对于勒索软件,威胁参与者旨在获取对高度可用服务器的管理控制凭据,然后部署勒索软件。 在某些情况下,威胁行动者会识别敏感数据并将其泄露到他们控制的位置。
战术恢复对于组织的环境、行业和 IT 专业知识和经验水平是独一无二的。 对于短期和战术遏制,建议执行下面概述的步骤。 若要详细了解长期指导方针,请参阅“保护特权访问”。 为了全面了解如何防御勒索软件和敲诈勒索,请参阅人工操作的勒索软件。
在发现新的威胁向量时,可以执行以下包含步骤。
步骤 1:评估状况的范围
- 哪些用户帐户遭入侵?
- 哪些设备受影响?
- 哪些应用程序受影响?
步骤 2:保留现有系统
- 禁用除管理员使用的少数帐户之外的所有特权用户帐户,以帮助重置 AD DS 基础结构的完整性。 如果你认为用户帐户遭入侵,请立即将其禁用。
- 将受损的系统与网络隔离,但不要将其关闭。
- 在每个域中隔离至少一个已知良好的域控制器(理想情况下是两个)。 断开它们与网络的连接,或将其关闭,以防止勒索软件传播到关键系统,将标识确定为最易受攻击的攻击途径。 如果所有域控制器都是虚拟的,请确保虚拟化平台的系统和数据驱动器备份到未连接到网络的脱机外部媒体。
- 隔离关键的已知良好应用程序服务器,例如 SAP、配置管理数据库(CMDB)、计费和会计系统。
当发现新的威胁向量时,可以同时执行这两个步骤。 若要将威胁与网络隔离,请禁用这些威胁向量,然后查找已知的未编译系统。
其他战术遏制操作包括:
快速连续两次重置 krbtgt 密码。 请考虑使用脚本化、可重复的过程。 此脚本允许重置 krbtgt 帐户密码和相关密钥,同时最大程度地减少 Kerberos 身份验证问题的可能性。 为尽量减少问题,可以在第一次密码重置之前,将 krbtgt 的有效期缩短一次或多次,以便快速完成这些步骤。 你计划保留在环境中的所有域控制器都必须处于联机状态。
将组策略部署到整个域,以防止特权登录(域管理员)到除域控制器和仅特权管理工作站(如果有)之外的任何项。
安装操作系统和应用程序缺少的所有安全更新。 每次缺少的更新都是勒索软件攻击者可以快速识别和利用的潜在威胁向量。 Microsoft Defender for Endpoint 的 威胁和漏洞管理 提供了一种简单的方法来准确查看缺少的内容以及缺失更新的影响。
对于 Windows 10(或更高版本)设备,请确认当前版本(或 n-1)是否在每个设备上运行。
部署攻击面减少 (ASR) 规则以防止恶意软件感染。
启用所有 Windows 10 安全功能。
检查每个面向外部的应用程序(包括 VPN 访问)是否受多重身份验证(MFA)的保护,最好是使用在安全设备上运行的身份验证应用程序。
对于未使用 Defender for Endpoint 作为其主要防病毒软件的设备,请在隔离的已知安全系统上对 Microsoft安全扫描程序 进行完全扫描,然后再将它们重新连接到网络。
对于任何旧操作系统,请升级到受支持的操作系统(OS)或停用这些设备。 如果这些选项不可用,请采取一切可能的措施来隔离这些设备,包括网络/VLAN 隔离、Internet 协议安全性(IPsec)规则和登录限制。 这些步骤有助于确保这些系统只能由用户/设备访问,以提供业务连续性。
风险最高的配置包括在 Windows NT 4.0 等旧的操作系统和应用程序上运行关键任务系统,所有这些都在旧的硬件上。 这些操作系统和应用程序不仅不安全且易受攻击,而且如果该硬件发生故障,备份通常无法在新式硬件上还原。 如果没有旧硬件,这些应用程序将无法正常运行。 强烈建议将这些应用程序转换为在当前 OS 和硬件上运行。
事件后活动
Microsoft 事件响应建议在每个事件后实施以下安全建议和最佳做法。
确保在 电子邮件和协作解决方案 中实施最佳实践,以防止威胁行为者使用,同时仍然让内部用户能够轻松安全地访问外部内容。
遵循内部组织资源远程访问解决方案的零信任安全最佳做法。
从具有关键影响的管理员开始,遵循账户安全最佳实践,包括使用 无密码认证 或多因素认证(MFA)。
实施全面的策略来减少特权访问泄露的风险。
对于云和林/域管理访问权限,请使用 Microsoft 的特权访问模型 (PAM)。
对于终结点行政管理,请使用本地管理员密码解决方案 (LAPS)。
实施数据保护以阻止勒索软件技术,并确认从攻击中快速可靠的恢复。
查看关键系统。 检查保护和备份,以防止威胁行为者进行删除或加密。 查看并定期测试和验证这些备份。
确保快速检测和修正针对终结点、电子邮件和标识的常见攻击。
主动发现并持续改善环境的安全状况。
更新组织流程,以管理重大勒索软件事件并简化外包来避免摩擦。
PAM
使用 PAM(以前称为分层管理模型)可增强 Microsoft Entra ID 的安全状况,其中包括:
在“计划”环境中划分管理帐户,即每个级别(通常有四个级别)一个帐户:
控制平面(以前为第 0 层):域控制器和其他关键标识服务的管理,例如 Active Directory 联合身份验证服务(ADFS)或Microsoft Entra Connect。 这些应用程序还包括需要 AD DS 管理权限的服务器应用程序,例如 Exchange Server。
接下来的两个平面以前为第 1 层:
管理平面:资产管理、监视和安全性。
数据/工作负载平面:应用程序和应用程序服务器。
接下来的两个平面以前为第 2 层:
用户访问:用户访问权限(如帐户)。
应用访问:应用程序的访问权限。
每个平面都有一个单独的管理工作站,并且只能访问该平面内的系统。 通过为这些设备设置用户权限分配,其他平面的帐户无法访问不同平面中的工作站和服务器。
PAM 可确保:
被入侵的用户帐户只能访问其自己的平面。
更敏感的用户帐户无法访问具有较低平面安全级别的工作站和服务器。 这有助于防止威胁参与者横向移动。
LAPS
默认情况下,Microsoft Windows 和 AD DS 没有对工作站和成员服务器上的本地管理帐户进行集中管理。 这种管理不足可能会导致所有这些本地帐户或至少某些设备组之间使用相同的常见密码。 在这种情况下,威胁参与者会破坏一个本地管理员帐户,然后访问组织中的其他工作站或服务器。
Microsoft的 LAPS 通过使用组策略客户端扩展来缓解此威胁,该扩展会根据策略集定期更改工作站和服务器上的本地管理密码。 这些密码中的每个密码都是不同的,并作为属性存储在 AD DS 计算机对象中。 可以从简单客户端应用程序检索此属性,具体取决于分配给该属性的权限。
LAPS 要求扩展 AD DS 架构以支持附加属性,安装 LAPS 组策略模板,并在每个工作站和成员服务器上安装一个小型客户端扩展以提供客户端功能。
可以从 Microsoft 下载中心下载 LAPS。
其他勒索软件资源
以下Microsoft资源有助于检测勒索软件攻击和保护组织资产:
人为操作的勒索软件
2023 Microsoft 数字防御报告(请参阅第 17-26 页)
Microsoft Defender 门户中的勒索软件:普遍和持续的威胁威胁分析报告
Microsoft 365:
- 为 Microsoft 365 租户部署勒索软件防护
- 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
- 从勒索软件攻击中恢复
- 恶意软件和勒索软件防护
- 保护 Windows 10 电脑,使其免受勒索软件侵害
- SharePoint Online 中的勒索软件
- Microsoft Defender 门户中的“勒索软件的威胁分析报告”
- 利用 AI 通过 Microsoft Security Copilot 来防范勒索软件
Microsoft Defender XDR:
Microsoft Azure:
- Azure 针对勒索软件攻击的防御措施
- 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
- 旨在防范勒索软件的备份和还原计划
- 使用 Microsoft Azure 备份帮助防范勒索软件(26 分钟的视频)
- 从系统标识入侵中恢复
- Microsoft Sentinel 中的高级多阶段攻击检测
- Microsoft Sentinel 中对勒索软件的融合检测
Microsoft Defender for Cloud Apps: