Microsoft事件回應小組勒索軟體方法和最佳做法

人為操作的勒索軟體 不是惡意軟體問題 - 這是人類犯罪問題。 用來解決商品問題的解決方案不足以防止更類似國家威脅執行者的威脅：

• 在加密檔案之前停用或卸載防病毒軟體
• 停用安全性服務和記錄以避免偵測
• 在傳送贖金要求之前，找出並損毀或刪除備份

這些動作通常會透過合法程式來執行，例如 快速協助，您可能已經在環境中用於系統管理目的 (2024 年 5 月)。 在犯罪手中，這些工具可用來進行攻擊。

回應勒索軟體日益嚴重的威脅需要新式企業設定、up-to日期安全性產品，以及經過訓練的安全性人員，以在數據遺失之前偵測及回應威脅。

Microsoft 事件回應小組（先前稱為 DART/CRSP） 回應安全性入侵，協助客戶變得具有網路彈性。 Microsoft事件回應提供現場反應式事件回應和遠端主動式調查。 Microsoft事件回應會使用Microsoft與世界各地的安全性組織與內部Microsoft產品群組的戰略合作關係，盡可能提供最完整且徹底的調查。

本文說明Microsoft事件回應如何處理勒索軟體攻擊，以協助引導Microsoft客戶瞭解您自己的安全性作業劇本的最佳做法。 如需了解 Microsoft 如何使用最新 AI 進行勒索軟體防護，請閱讀我們的文章，該文章介紹了如何利用 Microsoft Security Copilot 防禦勒索軟體攻擊。

Microsoft事件回應如何使用Microsoft安全性服務

Microsoft事件回應嚴重依賴所有調查的數據，並使用 Microsoft 安全性服務，例如適用於 Office 365的 Microsoft Defender、適用於端點的 Microsoft Defender、Microsoft 適用於身分識別的 Defender和 Microsoft Defender for Cloud Apps。

如需了解 Microsoft 的事故響應小組的最新安全措施更新，請查看他們的 Ninja Hub。

適用於端點的 Microsoft Defender

適用於端點的 Defender 是Microsoft的企業端點安全性平臺，其設計目的是協助企業網路安全性分析師防止、偵測、調查及回應進階威脅。 適用於端點的Defender可以使用進階行為分析和機器學習來偵測攻擊。 您的分析師可以使用適用於端點的 Defender 來評估威脅執行者行為分析。

您的分析師也可以執行進階搜捕查詢，以識別入侵指標或搜尋已知的威脅執行者行為。

Endpoint 的 Defender 提供即時存取專家監管和分析服務，由 Microsoft Defender 專家 負責持續監測可疑的威脅活動。 您也可以視需要與專家共同作業，以深入瞭解警示和事件。

適用於身分識別的 Microsoft Defender

Defender for Identity 會調查已知的遭入侵帳戶，以找出組織中其他可能遭入侵的帳戶。 Defender for Identity 會傳送針對已知惡意活動的警示，例如 DCSync 攻擊、遠端程式碼執行嘗試，以及傳遞哈希攻擊。

適用於雲端應用程式的 Microsoft Defender

適用於 Cloud Apps 的 Defender（先前稱為 Microsoft Cloud App Security）可讓您的分析師偵測雲端應用程式中異常的行為，以識別勒索軟體、遭入侵的使用者或流氓應用程式。 適用於 Cloud Apps 的 Defender 是 Microsoft 的雲端存取安全性代理程式 （CASB） 解決方案，可讓您監視雲端服務中使用者存取的雲端服務和數據。

Microsoft 安全分數

Microsoft Defender XDR 服務提供即時補救建議，以減少受攻擊面。 Microsoft安全分數是組織安全性狀態的度量，其數目較高，表示已採取更多改進動作。 閱讀安全分數 檔，以深入瞭解貴組織如何使用這項功能來排定其環境的補救動作優先順序。

Microsoft事件回應方法來進行勒索軟體事件調查

判斷威脅執行者如何取得您環境的存取權，對於識別弱點、執行攻擊風險降低及防止未來攻擊至關重要。 在某些情況下，威脅行為者會採取步驟來掩蓋其行踪和銷毀證據，因此整個事件的連貫性可能不明顯。

以下是Microsoft事件回應勒索軟體調查中的三個主要步驟：

步驟 1：評估目前的情況

對目前情況的評估對於瞭解事件的範圍和確定協助和規劃調查和補救工作的最佳人員至關重要。 詢問下列初始問題對於協助判斷情況的來源和範圍至關重要。

您如何識別勒索軟體攻擊？

如果您的 IT 人員識別出初始威脅，例如已刪除的備份、防毒警示、端點偵測和回應 （EDR） 警示或可疑的系統變更，通常可能會採取快速果斷措施來挫敗攻擊。 這些措施通常涉及停用所有輸入和輸出因特網通訊。 儘管此措施可能會暫時影響商務運作，但其影響通常遠小於成功勒索軟體部署所帶來的影響。

如果使用者呼叫 IT 技術服務人員識別出威脅，可能會有足夠進階的警告採取防禦措施，以防止或最小化攻擊的影響。 如果執法或金融機構等外部實體識別出威脅，很可能已經造成損害。 此時，威脅執行者可能會對您的網路進行系統管理控制。 此證據的範圍可以從勒索軟體筆記到鎖定的螢幕到贖金要求。

您第一次瞭解事件的日期/時間為何？

建立初始活動日期和時間很重要，有助於縮小威脅動作項目活動的初始分級範圍。 其他問題可能包括：

• 該日期遺漏了哪些更新？ 識別已被利用的弱點很重要。
• 該日期使用了哪些帳戶？
• 自該日期以來，已建立哪些新帳戶？

有哪些記錄可供使用，而且是否有任何指示動作專案目前正在存取系統？

記錄檔 -- 例如防病毒軟體、EDR 和虛擬專用網 （VPN） - 可以顯示可疑入侵的證據。 後續問題可能包括：

• 在安全性資訊與事件管理 （SIEM） 解決方案中匯總記錄，例如 Microsoft Sentinel、Splunk、ArcSight 和其他和目前？ 此數據的保留期間為何？
• 是否有任何可疑的遭入侵系統發生異常活動？
• 是否有任何疑似被駭的帳戶處於威脅行為者的控制之下？
• EDR、防火牆、VPN、Web Proxy 和其他記錄中是否有任何作用中命令和控件 （C2s） 的證據？

若要評估情況，您可能需要未遭入侵的 Active Directory Domain Services （AD DS） 域控制器、域控制器最近的備份，或最近離線進行維護或升級的域控制器。 同時判斷公司中每個人是否需要 多重要素驗證 （MFA）， 以及是否 使用Microsoft Entra ID 。

步驟 2：識別因事件而無法使用的 LOB 應用程式

此步驟對於找出在取得必要證據的同時，讓系統回到在線的最快速方式至關重要。

應用程式是否需要身分識別？

• 如何進行驗證？
• 如何儲存和管理憑證或秘密等認證？

測試的應用程式、組態和資料備份是否可供使用？

• 使用還原練習定期驗證備份的內容和完整性嗎？ 這項檢查在組態管理變更或版本升級之後很重要。

步驟 3：判斷入侵復原程式

如果控制平面（通常是 AD DS）遭到入侵，這個步驟可能是必要的。

您的調查應該始終提供直接饋送至CR流程的輸出。 CR 是從環境中移除威脅行為者控制的過程，並在特定期限內策略性提高安全姿態。 CR 會在安全性后遭到入侵。 若要深入瞭解 CR，請閱讀 Microsoft Compromise Recovery Security Practice Team 的 CRSP：除了客戶部落格文章之外，與網路攻擊作鬥爭的緊急小組。

收集步驟 1 和 2 中問題的響應之後，您可以建置工作清單並指派擁有者。 成功的事件響應參與需要完整且詳細的每個工作項目檔案（例如，擁有者、狀態、結果、日期和時間）來彙編發現。

Microsoft事件回應建議和最佳做法

以下是事件回應的建議和內含專案和事件后活動的最佳做法Microsoft。

Containment

內含專案只能在您判斷需要包含的內容之後發生。 在勒索軟體的情況下，威脅執行者的目標是取得高可用性伺服器的系統管理控制認證，然後部署勒索軟體。 在某些情況下，威脅執行者會識別敏感數據，並將其外泄至其控制的位置。

戰術復原對貴組織的環境、產業和IT專業知識和經驗層級而言是獨一無二的。 為了短期和戰術性的遏制，建議採取下述步驟。 若要深入瞭解長期策略，請參閱確保高權限存取的安全性。 若想全面瞭解如何防禦勒索軟體和敲詐勒索，請參閱人為操作的勒索軟體。

當發現新的威脅向量時，可以執行下列遏制措施。

步驟 1：評估情況的範圍

• 哪些用戶帳戶遭到入侵？
• 哪些裝置受到影響？
• 哪些應用程式受到影響？

步驟 2：保留現有的系統

• 停用系統管理員所使用的少數帳戶以外的所有特殊許可權用戶帳戶，以協助重設 AD DS 基礎結構的完整性。 如果您認為用戶帳戶遭到入侵，請立即將其停用。
• 隔離遭入侵的系統與網路，但不要將其關閉。
• 在每個網域中隔離至少一個 （且理想情況下為兩個） 已知的良好域控制器。 將其與網路中斷連線，或將其關閉，以防止勒索軟體傳播至重要系統，將身分識別列為最易受攻擊媒介。 如果您的所有域控制器都是虛擬的，請確定虛擬化平臺的系統和數據磁碟驅動器已備份到未連線到網路的離線外部媒體。
• 隔離重要的已知良好應用程式伺服器，例如 SAP、組態管理資料庫 （CMDB）、計費和會計系統。

當探索到新的威脅向量時，可以同時採取這兩個步驟。 若要將威脅與網路隔離，請停用這些威脅向量，然後尋找已知的未編譯系統。

其他戰術遏制措施包括：

• 快速連續兩次重設 krbtgt 密碼 兩次。 請考慮使用 腳本化、可重複的程式。 此腳本可讓您重設 krbtgt 帳戶密碼和相關密鑰，同時將 Kerberos 驗證問題的可能性降至最低。 若要將問題降到最低，可以在第一次重設密碼之前減少一或多次 krbtgt 存留期，以快速完成這些步驟。 您打算保留在環境中的所有域控制器都必須在線。

• 將群組原則部署到整個網域，以防止擁有特殊許可權的帳戶（Domain Admins）登入除網域控制器和僅限特殊許可權使用的管理工作站外的其他地方（如果有的話）。

• 安裝作業系統和應用程式的所有遺漏安全性更新。 每個遺漏的更新都是勒索軟體執行者可以快速識別及使用的潛在威脅媒介。 Microsoft Defender for Endpoint 的 威脅與弱點管理 提供了一種簡單的方法，幫助精確查看缺失的項目及遺漏更新所帶來的影響。

  • 針對 Windows 10 （或更新版本）裝置，請確認目前版本 （或 n-1） 正在每個裝置上執行。

  • 部署 受攻擊面縮小 （ASR） 規則 以防止惡意代碼感染。

  • 啟用所有 Windows 10 安全性功能。

• 檢查每個外部面向應用程式，包括 VPN 存取，都受到多重要素驗證 （MFA） 的保護，最好是使用在安全裝置上執行的驗證應用程式。

• 對於未使用 Microsoft Defender for Endpoint 作為主要防病毒軟體的裝置，請先在隔離的、已知安全的系統上，使用 Microsoft 安全掃描器 進行完整掃描，然後再重新連接到網路。

• 對於任何舊版操作系統，建議升級至受支援的操作系統（OS），或停用這些裝置。 如果無法使用這些選項，請採取一切可能措施來隔離這些裝置，包括網路/VLAN 隔離、因特網通訊協定安全性 （IPsec） 規則和登入限制。 這些步驟有助於確保這些系統只能由使用者/裝置存取，以提供商務持續性。

風險最高的組態包括舊版操作系統上執行任務關鍵系統，如舊版 Windows NT 4.0 和應用程式，全都位於舊版硬體上。 這些操作系統和應用程式不僅不安全且易受攻擊，而且如果該硬體失敗，備份通常無法在新式硬體上還原。 這些應用程式無法在沒有舊版硬體的情況下運作。 強烈建議您轉換這些應用程式，以在目前的OS和硬體上執行。

事件後活動

Microsoft事件回應建議在每個事件之後實作下列安全性建議和最佳做法。

• 請確定 電子郵件和共同作業解決方案的最佳做法已，以協助防止威脅執行者使用這些解決方案，同時仍可讓內部使用者輕鬆且安全地存取外部內容。

• 請遵循 零信任 內部組織資源遠端存取解決方案的安全性最佳做法。

• 從重大影響系統管理員開始，請遵循帳戶安全性的最佳做法，包括使用 無密碼驗證 或 MFA。

• 實作全面策略，以降低特殊許可權存取入侵的風險。

  • 針對雲端和樹系/網域系統管理存取，請使用Microsoft的特殊許可權存取模型 （PAM）。

  • 針對端點系統管理，請使用本機系統管理密碼解決方案 （LAPS）。

• 實作數據保護來封鎖勒索軟體技術，並確認從攻擊中快速且可靠的復原。

• 檢閱您的重要系統。 檢查保護與備份，以防止威脅行為者進行移除或加密。 檢閱並定期測試及驗證這些備份。

• 確保針對端點、電子郵件和身分識別的常見攻擊快速偵測和補救。

• 主動探索並持續改善環境的安全性狀態。

• 更新組織程式來管理主要勒索軟體事件，並簡化外包以避免摩擦。

PAM

使用 PAM（先前稱為階層式系統管理模型）可增強Microsoft Entra ID 的安全性狀態，其中包括：

• 在「已規劃」的環境中將系統管理帳戶按層級分開，這表示每個層級都有一個帳戶（通常是四個層級）：

• 控制平面（先前稱為第 0 層）：域控制器和其他重要身分識別服務的管理，例如 Active Directory 同盟服務 （ADFS） 或 Microsoft Entra Connect。 這些也包括需要 AD DS 系統管理許可權的伺服器應用程式，例如 Exchange Server。

• 接下來的兩架飛機是前第1層：

  • 管理平面：資產管理、監視和安全性。

  • 數據/工作負載平面：應用程式和應用程式伺服器。

• 接下來的兩架飛機是前第 2 層：

  • 使用者存取：用戶的訪問許可權（例如帳戶）。

  • 應用程式存取：應用程式的訪問許可權。

• 每架飛機都有一個 個別的系統管理工作站，每個平面，而且只能存取該平面中的系統。 來自其他平面的帳戶會透過設定為這些裝置的用戶權力指派，拒絕存取不同平面中的工作站和伺服器。

PAM 可確保：

• 遭入侵的用戶帳戶只能存取其自身所在的層。

• 安全性要求更高的用戶帳戶無法存取安全等級較低的工作站和伺服器。 這有助於防止攻擊者的橫向移動。

LAPS

根據預設，Microsoft Windows 和 AD DS 在工作站和成員伺服器上沒有本機系統管理帳戶的集中式管理。 這種管理不足可能會導致所有這些本機帳戶共用相同的密碼，或至少針對設備群組使用相同的密碼。 這種情況可讓威脅執行者入侵一個本機系統管理員帳戶，然後存取組織中的其他工作站或伺服器。

Microsoft 的 LAPS 會使用群組原則用戶端擴充功能，依照設定的原則集，定期更改工作站和伺服器的本機管理員密碼，以減輕此威脅。 每一個密碼都是不同的，並儲存為 AD DS 計算機物件中的屬性。 您可以根據指派給該屬性的許可權，從簡單的用戶端應用程式擷取此屬性。

LAPS 需要擴充 AD DS 架構，以允許額外的屬性、要安裝 LAPS 組策略範本，以及在每個工作站和成員伺服器上安裝小型用戶端擴充功能，以提供用戶端功能。

從 Microsoft 下載中心您可以下載 LAPS。

其他勒索軟體資源

下列Microsoft資源可協助偵測勒索軟體攻擊和保護組織資產：

• 人為操作的勒索軟體

• 快速防範勒索軟體和敲詐勒索

• 2023 年 Microsoft 數位防禦報告 (請參閱第 17 至 26 頁)

• 勒索軟體：Microsoft Defender 入口網站中普遍且持續的威脅 威脅分析報告

• Microsoft事件回應勒索軟體案例研究

Microsoft 365：

• 為您的 Microsoft 365 租使用者部署勒索軟體防護
• 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
• 從勒索軟體攻擊中復原
• 惡意程式碼和勒索軟體防護
• 保護您的 Windows 10 電腦免受勒索軟體攻擊
• 在 SharePoint Online 中處理勒索軟體
• Microsoft Defender 入口網站中勒索軟體 的威脅分析報告
• 利用 AI 來防範勒索軟體，藉由 Microsoft Security Copilot

Microsoft Defender 全面偵測回應：

• 利用進階搜捕尋找勒索軟體

Microsoft Azure:

• 適用於勒索軟體攻擊的 Azure 防禦
• 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
• 備份和還原計劃以防範勒索軟體
• 利用 Microsoft Azure 備份來防止勒索軟體 (26 分鐘的影片)
• 從系統性身分識別入侵中復原
• Microsoft Sentinel 中的進階多階段攻擊偵測
• Microsoft Sentinel 中勒索軟體的融合偵測

適用於雲端的 Microsoft Defender 應用程式：

• 在 適用於雲端的 Defender Apps 中建立異常偵測原則