Reakce na útoky ransomwaru

Poznámka

Chcete vyzkoušet XDR v Microsoft Defenderu? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotně nasadit XDR v Microsoft Defenderu.

Pokud máte podezření, že jste byli nebo právě jste pod útokem ransomware, okamžitě navázat zabezpečenou komunikaci s týmem reakce na incidenty. Můžou provést následující fáze odezvy, aby narušily útok a zmírnily škody:

• Vyšetřování a uzavření
• Eradikace a obnovení

Tento článek obsahuje zobecněný playbook pro reakci na útoky ransomwarem. Zvažte přizpůsobení kroků a úkolů popsaných v tomto článku vlastnímu playbooku operací zabezpečení. POZNÁMKA: Informace o prevenci útoků ransomwarem najdete v tématu Rychlé nasazení prevence ransomwaru.

Uzavření

Zadržení a vyšetřování by mělo probíhat co nejrychleji současně; Měli byste se však zaměřit na rychlé dosažení omezení, abyste měli více času na prošetření. Tyto kroky vám pomůžou určit rozsah útoku a izolovat ho pouze na ovlivněné entity, jako jsou uživatelské účty a zařízení.

Krok 1: Posouzení rozsahu incidentu

Projděte si tento seznam otázek a úkolů a zjistěte rozsah útoku. Microsoft Defender XDR může poskytnout konsolidovaný přehled o všech ovlivněných nebo rizikových prostředcích, které vám pomůžou s posouzením reakce na incidenty. Viz Reakce na incidenty pomocí Microsoft Defender XDR. Pomocí výstrah a seznamu důkazů v incidentu můžete určit:

• Které uživatelské účty můžou být ohrožené?
  • Které účty byly použity k doručení datové části?
• Kterých onboardovaných a zjištěných zařízení se to týká a jak?
  • Původní zařízení
  • Ovlivněná zařízení
  • Podezřelá zařízení
• Identifikujte veškerou síťovou komunikaci přidruženou k incidentu.
• Kterých aplikací se to týká?
• Jaké datové části byly rozloženy?
• Jak útočník komunikuje s ohroženými zařízeními? (Musí být povolená ochrana sítě):
  • Přejděte na stránku indikátorů a přidejte blok pro IP adresu a adresu URL (pokud máte informace).
• Jaké bylo médium pro doručování datové části?

Krok 2: Zachování existujících systémů

Projděte si tento seznam úloh a otázek, abyste ochránili stávající systémy před útoky:

• Pokud máte online zálohy, zvažte odpojení zálohovacího systému od sítě, dokud si nebudete jistí, že je útok obsažený, viz Plán zálohování a obnovení pro ochranu před ransomwarem | Microsoft Docs.
• Pokud dochází k bezprostřednímu a aktivnímu nasazení ransomwaru nebo ho očekáváte:
  • Pozastavte privilegované a místní účty , u které máte podezření, že jsou součástí útoku. Můžete to udělat na kartě Uživatelé ve vlastnostech incidentu na portálu Microsoft Defender.
  • Zastavte všechny relace vzdáleného přihlášení.
  • Resetujte hesla ohrožených uživatelských účtů a vyžadujte, aby se uživatelé ohrožených uživatelských účtů znovu přihlásili.
  • To samé udělejte u uživatelských účtů, které by mohly být ohroženy.
  • Pokud dojde k ohrožení zabezpečení sdílených místních účtů, požádejte správce IT, aby vám pomohl vynutit změnu hesla na všech vystavených zařízeních. Příklad dotazu Kusto:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• Pro zařízení, která ještě nejsou izolovaná a nejsou součástí kritické infrastruktury:
  • Izolujte ohrožená zařízení od sítě, ale nevypínejte je.
  • Pokud identifikujete původní nebo rozšiřovací zařízení, nejprve je izolujte.
• Zachovejte ohrožené systémy pro účely analýzy.

Krok 3: Zabránění šíření

Tento seznam použijte, pokud chcete zabránit rozšíření útoku do dalších entit.

• Pokud se při útoku používají sdílené místní účty, zvažte blokování vzdáleného použití místních účtů.
  • Dotaz Kusto pro všechna přihlášení k síti, která jsou místními správci:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Dotaz Kusto pro přihlášení bez protokolu RDP (realističtější pro většinu sítí):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Umístit do karantény a přidat indikátory pro soubory, které jsou nakažené.
• Ujistěte se, že je vaše antivirové řešení konfigurovatelné v optimálním stavu ochrany. Pro Microsoft Defender Antivirus to zahrnuje:
  • Je povolená ochrana v reálném čase .
  • Je povolená ochrana před falšováním . Na portálu Microsoft Defender vyberte Nastavení > Koncové body > Pokročilé funkce > ochrany před falšováním.
  • Pravidla omezení potenciální oblasti útoku jsou povolená.
  • Cloudová ochrana je povolená.
• Zakažte protokol Exchange ActiveSync a synchronizační aplikace OneDrivu.
  • Pokud chcete zakázat protokol Exchange ActiveSync pro poštovní schránku, přečtěte si téma Jak zakázat protokol Exchange ActiveSync pro uživatele v Exchange Online.
  • Pokud chcete zakázat jiné typy přístupu k poštovní schránce, přečtěte si:
    • Povolení nebo zakázání rozhraní MAPI pro poštovní schránku
    • Povolení nebo zakázání přístupu pomocí protokolu POP3 nebo IMAP4 pro uživatele
  • Pozastavení synchronizační aplikace OneDrivu pomáhá chránit cloudová data před aktualizací potenciálně napadenými zařízeními. Další informace najdete v článku Jak pozastavit a obnovit synchronizaci na OneDrivu.
• U ovlivněných systémů použijte příslušné opravy a změny konfigurace.
• Blokovat komunikaci ransomwaru pomocí interních a externích ovládacích prvků
• Vymazání obsahu uloženého v mezipaměti

Šetření

V této části můžete prozkoumat útok a naplánovat odpověď.

Posouzení aktuální situace

• Co vás na začátku upozornilo na útok ransomwarem?
  • Pokud it pracovníci identifikovali počáteční hrozbu – například zjištění odstraněných záloh, antivirových výstrah, upozornění na detekci a odezvu koncových bodů (EDR) nebo podezřelých systémových změn – je často možné přijmout rychlá rozhodná opatření, aby se útoku zmařila, obvykle prostřednictvím akcí popsaných v tomto článku.
• Jaké datum a čas jste se poprvé dozvěděli o incidentu?
  • Jaké aktualizace systému a zabezpečení nebyly k tomuto datu na zařízení nainstalovány? To je důležité, abyste pochopili, jaká ohrožení zabezpečení se mohla využít, aby bylo možné je řešit na jiných zařízeních.
  • Jaké uživatelské účty se k tomuto datu použily?
  • Jaké nové uživatelské účty byly od tohoto data vytvořeny?
  • Jaké programy byly přidány, aby se automaticky spustily v době, kdy k incidentu došlo?
• Existují nějaké známky toho, že útočník v současné době přistupuje k systémům?
  • Existují nějaké podezřelé ohrožené systémy, u kterých dochází k neobvyklé aktivitě?
  • Existují nějaké podezřelé ohrožené účty, u nichž se zdá, že je nežádoucí osoba aktivně používá?
  • Existují nějaké důkazy o aktivních serverech příkazů a řízení (C2) v EDR, bráně firewall, SÍTI VPN, webovém proxy serveru a dalších protokolech?

Identifikace procesu ransomwaru

• Pomocí rozšířeného proaktivního vyhledávání vyhledejte identifikovaný proces v událostech vytváření procesu na jiných zařízeních.

Vyhledání vystavených přihlašovacích údajů v napadených zařízeních

• U uživatelských účtů, jejichž přihlašovací údaje byly potenciálně ohroženy, resetujte hesla účtu a vyžadovat, aby se uživatelé znovu přihlásili.
• Následující vstupně-výstupní operace (IOA) můžou indikovat laterální pohyb:

Kliknutím rozbalíte

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Zesilovač Mimikatz Defender
• Nástroj pro skenování sítě používaný společností PARINACOTA
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• Přístupy procesů Lsass
• Podezřelé spuštění procesu Rundll32
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousAktivita
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• Podezřelá registrace knihovny DLL od odbcconf
• Podezřelá aktivita DPAPI
• Podezřelé spuštění procesu exchange
• Podezřelé naplánované spuštění úlohy
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• Nedůvěryhodná aplikace otevře připojení RDP

Identifikace obchodních aplikací, které jsou kvůli incidentu nedostupné

• Vyžaduje aplikace identitu?
  • Jak se provádí ověřování?
  • Jak se ukládají a spravují přihlašovací údaje, jako jsou certifikáty nebo tajné kódy?
• Jsou k dispozici vyhodnocené zálohy aplikace, její konfigurace a její data?
• Určete svůj ohrožený proces obnovení.

Eradikace a obnovení

Pomocí těchto kroků můžete hrozbu vymýtit a obnovit poškozené prostředky.

Krok 1: Ověření záloh

Pokud máte offline zálohy, můžete data, která jsou zašifrovaná, obnovit po odebrání datové části ransomwaru (malware) ze svého prostředí a po ověření, že ve vašem tenantovi Microsoft 365 není žádný neoprávněný přístup.

Krok 2: Přidání indikátorů

Přidejte všechny známé komunikační kanály útočníka jako indikátory blokované v bránách firewall, na proxy serverech a na koncových bodech.

Krok 3: Resetování ohrožených uživatelů

Resetujte hesla všech známých ohrožených uživatelských účtů a vyžadujte nové přihlášení.

• Zvažte resetování hesel pro jakýkoli privilegovaný účet se širokou autoritou pro správu, jako jsou členové skupiny Domain Admins.
• Pokud uživatelský účet mohl vytvořit útočník, zakažte ho. Neodstraňovat účet, pokud neexistují žádné plány k provedení bezpečnostních forenzních dat pro incident.

Krok 4: Izolace kontrolních bodů útočníka

Izolujte všechny známé kontrolní body útočníka uvnitř podniku od internetu.

Krok 5: Odebrání malwaru

Odeberte malware z ovlivněných zařízení.

• Spusťte úplnou aktuální antivirovou kontrolu na všech podezřelých počítačích a zařízeních, abyste zjistili a odebrali datovou část přidruženou k ransomwaru.
• Nezapomeňte zkontrolovat zařízení, která synchronizují data, nebo cíle namapovaných síťových jednotek.

Krok 6: Obnovení souborů na vyčištěných zařízeních

Obnovení souborů na vyčištěných zařízeních

• Pomocí Historie souborů v Windows 11, Windows 10, Windows 8.1 a Ochrana systému ve Windows 7 můžete pokusit obnovit místní soubory a složky.

Krok 7: Obnovení souborů v OneDrive pro firmy

Obnovte soubory v OneDrive pro firmy.

• Obnovení souborů v OneDrive pro firmy umožňuje obnovit celý OneDrive k předchozímu bodu v čase během posledních 30 dnů. Další informace najdete v části Obnovení vašeho OneDrive.

Krok 8: Obnovení odstraněného e-mailu

Obnovení odstraněných e-mailů

• Ve výjimečných případech, kdy ransomware odstranil všechny e-maily v poštovní schránce, můžete odstraněné položky obnovit. Viz Obnovení odstraněných zpráv v poštovní schránce uživatele v Exchange Online.

Krok 9: Opětovné povolení protokol Exchange ActiveSync a synchronizační aplikace OneDrivu

• Po vyčištění počítačů a zařízení a obnovení dat můžete znovu povolit protokol Exchange ActiveSync a synchronizační aplikace OneDrivu, které jste dříve zakázali v kroku 3 omezení.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.