Door mensen uitgevoerde ransomwareaanvallen detecteren met Microsoft Defender XDR
Opmerking
Wilt u Microsoft Defender XDR ervaren? Meer informatie over hoe u Microsoft Defender XDR kunt evalueren en piloten.
Ransomware is een soort afpersingsaanval die bestanden en mappen vernietigt of versleutelt, waardoor de toegang tot kritieke gegevens wordt voorkomen of kritieke bedrijfssystemen worden verstoord. Er zijn twee soorten ransomware:
- Commodity ransomware is malware die zich verspreidt met phishing of tussen apparaten en bestanden versleutelt voordat losgeld wordt gevraagd.
- Door mensen beheerde ransomware is een geplande en gecoördineerde aanval door actieve cybercriminelen die meerdere aanvalsmethoden gebruiken. In veel gevallen worden bekende technieken en hulpprogramma's gebruikt om uw organisatie te infiltreren, de activa of systemen te vinden die het waard zijn af tepersen en vervolgens losgeld te vragen. Bij het in gevaar brengen van een netwerk voert de aanvaller verkenningen uit van assets en systemen die kunnen worden versleuteld of afgeperst. De aanvallers versleutelen of exfiltreren vervolgens gegevens voordat ze losgeld eisen.
In dit artikel worden proactieve detectie van nieuwe of doorlopende door mensen beheerde ransomware-aanvallen beschreven met de Microsoft Defender portal, een XDR-oplossing (Extended Detection and Response) voor de volgende beveiligingsservices:
- Microsoft Defender voor Eindpunt
- Microsoft Defender voor Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps (inclusief de app-governance-invoegtoepassing)
- Microsoft Entra ID Protection
- Microsoft Defender voor IoT
- Microsoft 365 Business Premium
- Microsoft Defender voor Bedrijven
Zie Voor informatie over het voorkomen van ransomware-aanvallen Snel ransomwarepreventies implementeren - Fase 3: het moeilijk maken om binnen te komen.
Het belang van proactieve detectie
Omdat door mensen beheerde ransomware doorgaans wordt uitgevoerd door actieve aanvallers die mogelijk de stappen uitvoeren om uw meest waardevolle gegevens en systemen in realtime te infiltreren en te ontdekken, is de tijd die nodig is om ransomware-aanvallen te detecteren van cruciaal belang.
Als activiteiten voor losgeld snel worden gedetecteerd, neemt de kans op een ernstige aanval af. De fase voor losgeld omvat doorgaans de volgende technieken: initiële toegang, verkenning, diefstal van referenties, laterale verplaatsing en persistentie. Deze technieken lijken in eerste instantie niet gerelateerd en vliegen vaak onder de radar. Als deze technieken tot de losgeldfase leiden, is het vaak te laat. Microsoft Defender XDR kan helpen bij het identificeren van die kleine en schijnbaar niet-gerelateerde incidenten als onderdeel van een grotere ransomware-campagne.
- Wanneer deze worden gedetecteerd tijdens de fase vóór losgeld, kunnen kleinere risicobeperkingen, zoals het isoleren van geïnfecteerde apparaten of gebruikersaccounts, worden gebruikt om de aanval te verstoren en te herstellen.
- Als de detectie in een later stadium plaatsvindt, bijvoorbeeld wanneer de malware die wordt gebruikt om bestanden te versleutelen, wordt geïmplementeerd, moeten er mogelijk agressievere herstelstappen worden gebruikt die downtime kunnen veroorzaken om de aanval te verstoren en te herstellen.
Onderbrekingen van bedrijfsactiviteiten zijn waarschijnlijk bij het reageren op een ransomware-aanval. De eindfase van een ransomware-aanval is vaak een keuze tussen downtime veroorzaakt door aanvallers met grote risico's of een gecontroleerde downtime om de netwerkveiligheid te garanderen en u de tijd te geven om dit volledig te onderzoeken. We raden nooit aan om losgeld te betalen. Cybercriminelen betalen om een ransomware-ontsleutelingssleutel te krijgen, biedt geen garantie dat uw versleutelde gegevens worden hersteld. Zie Ransomware-antwoord - Microsoft-beveiligingsblog.
Dit is de kwalitatieve relatie van de impact van een ransomware-aanval en uw tijd om te reageren op geen detectie versus proactieve detectie en reactie.
Proactieve detectie via algemene malwarehulpprogramma's en -technieken
In veel gevallen gebruiken door mensen uitgevoerde ransomware-aanvallers bekende en in het veld geteste malwaretactieken, technieken, hulpprogramma's en procedures, waaronder phishing, zakelijke e-mailcompromittatie (BEC) en referentiediefstal. Uw beveiligingsanalisten moeten op de hoogte zijn van en bekend zijn met hoe aanvallers veelgebruikte methoden voor malware en cyberaanvallen gebruiken om voet aan de grond te krijgen in uw organisatie.
Zie deze bronnen voor voorbeelden van hoe ransomware-aanvallen aan de slag gaan met veelvoorkomende malware:
- Door mensen beheerde ransomware-aanvallen: een te voorkomen noodgeval
- Rapporten over ransomware-bedreigingsanalyse in de Microsoft Defender-portal
Als u bekend bent met pre-ransom malware, payloads en activiteiten, kunnen uw analisten weten waar ze op moeten letten om de latere stadia van een aanval te voorkomen.
Door mensen uitgevoerde ransomware aanvaltactieken
Omdat door mensen beheerde ransomware bekende aanvalstechnieken en -hulpprogramma's kan gebruiken, is het begrip en de ervaring van uw analisten met bestaande aanvalstechnieken en -hulpprogramma's een waardevolle troef bij het voorbereiden van uw SecOps-team op gerichte ransomwaredetectieprocedures.
Aanvaltactieken en -methoden
Hier volgen enkele typische technieken en hulpprogramma's die door ransomware-aanvallers worden gebruikt voor de volgende MITRE ATT&CK-tactieken :
Initiële toegang:
- RDP brute force
- Kwetsbaar internetgericht systeem
- Zwakke toepassingsinstellingen
- Phishing-e-mail
Diefstal van referenties:
- Mimikatz
- LSA-geheimen
- Referentiekluis
- Referenties in platte tekst
- Misbruik van serviceaccounts
Laterale beweging:
- Cobalt Strike
- WMI
- Misbruik van beheerhulpprogramma's
- PsExec
Persistentie:
- Nieuwe accounts
- Wijzigingen in groepsbeleidsobject
- Schaduw-IT-hulpprogramma's
- Taken plannen
- Serviceregistratie
Defensieontduiking:
- Beveiligingsfuncties uitschakelen
- Logboekbestanden wissen
- Bestanden met aanvalsartefacten verwijderen
- Tijdstempels voor gewijzigde bestanden opnieuw instellen
Exfiltratie:
- Exfiltratie van gevoelige gegevens Impact (financiële hefboomwerking):
- Versleuteling van gegevens ter plaatse en in back-ups
- Verwijdering van gegevens ter plaatse en back-ups, die kunnen worden gecombineerd met een voorafgaande exfiltratie
- Dreiging van openbaar lekken van exfiltreerde, gevoelige gegevens
Waar moet u op letten
De uitdaging voor beveiligingsanalisten is het herkennen wanneer een waarschuwing deel uitmaakt van een grotere aanvalsketen met als doel uw gevoelige gegevens of cruciale systemen af tepersen. Een gedetecteerde phishing-aanval kan bijvoorbeeld zijn:
- Een eenmalige aanval om de e-mailberichten van iemand in de financiële afdeling van een organisatie te surveileren.
- Het pre-ransom-gedeelte van een aanvalsketen om gecompromitteerde gebruikersaccountreferenties te gebruiken om de resources te detecteren die beschikbaar zijn voor het gebruikersaccount en om andere gebruikersaccounts met hogere niveaus van bevoegdheden en toegang in gevaar te komen.
Deze sectie bevat algemene aanvalsfasen en -methoden en de signaalbronnen die worden ingevoerd in de centrale Microsoft Defender-portal, die waarschuwingen en incidenten maakt die bestaan uit meerdere gerelateerde waarschuwingen voor beveiligingsanalyse. In sommige gevallen zijn er alternatieve beveiligingsportals om de aanvalsgegevens te bekijken.
Eerste aanvallen om toegang te krijgen
Aanvaller probeert een gebruikersaccount, apparaat of app in gevaar te komen.
| Aanvalsmethode | Signaalbron | Alternatieve beveiligingsportals |
|---|---|---|
| RDP brute force | Defender voor Eindpunt | Defender voor Cloud-apps |
| Kwetsbaar internetgericht systeem | Windows-beveiligingsfuncties, Microsoft Defender voor servers | |
| Zwakke toepassingsinstellingen | Defender for Cloud Apps, Defender for Cloud Apps met de app-governance-invoegtoepassing | Defender voor Cloud-apps |
| Activiteit van schadelijke apps | Defender for Cloud Apps, Defender for Cloud Apps met de app-governance-invoegtoepassing | Defender voor Cloud-apps |
| Phishing-e-mail | Defender voor Office 365 | |
| Wachtwoordspray tegen Microsoft Entra-accounts | Microsoft Entra ID Protection via Defender for Cloud Apps | Defender voor Cloud-apps |
| Wachtwoordspray tegen on-premises accounts | Microsoft Defender for Identity | |
| Apparaatcompromis | Defender voor Eindpunt | |
| Diefstal van referenties | Microsoft Defender for Identity | |
| Escalatie van bevoegdheden | Microsoft Defender for Identity |
Recente piek in normaal gedrag
De aanvaller probeert te onderzoeken of er extra entiteiten kunnen worden gecompromitteerd.
| Spike-categorie | Signaalbron | Alternatieve beveiligingsportals |
|---|---|---|
| Aanmeldingen: talloze mislukte pogingen, pogingen om in korte tijd bij meerdere apparaten aan te melden, meerdere nieuwe aanmeldingen, enzovoort. | Microsoft Entra ID Protection via Defender for Cloud Apps, Microsoft Defender for Identity | Defender voor Cloud-apps |
| Onlangs actief gebruikersaccount, groep, computeraccount, app | Microsoft Entra ID Protection via Defender for Cloud Apps (Microsoft Entra ID), Defender for Identity (Active Directory Domain Services [AD DS]) | Defender voor Cloud-apps |
| Recente app-activiteit, zoals gegevenstoegang | Apps met Defender for Cloud-apps met de app-governance-invoegtoepassing | Defender voor Cloud-apps |
Nieuwe activiteit
Aanvaller maakt nieuwe entiteiten om hun bereik te verruimen, malware-agents te installeren of detectie te omzeilen.
| Activiteit | Signaalbron | Alternatieve beveiligingsportal |
|---|---|---|
| Nieuwe apps die zijn geïnstalleerd | Defender for Cloud Apps met de app-governance-invoegtoepassing | Defender voor Cloud-apps |
| Nieuwe gebruikersaccounts | Azure Identity Protection | Defender voor Cloud-apps |
| Rolwijzigingen | Azure Identity Protection | Defender voor Cloud-apps |
Verdacht gedrag
Aanvaller downloadt gevoelige informatie, versleutelt bestanden of verzamelt of beschadigt anderszins organisatieassets.
| Gedrag | Signaalbron |
|---|---|
| Malware verspreid over meerdere apparaten | Defender voor Eindpunt |
| Resourcescans | Defender voor Eindpunt, Defender voor Identiteit |
| Wijzigingen in regels voor doorsturen van postvakken | Defender voor Office 365 |
| Gegevensexfiltratie en versleuteling | Defender voor Office 365 |
-*Monitor for Adversary Disableing Security** – omdat dit vaak deel uitmaakt van door de mens uitgevoerde ransomware (HumOR) aanvalsketen
- Gebeurtenislogboeken wissen , met name het beveiligingslogboek en operationele PowerShell-logboeken
- Uitschakelen van beveiligingshulpprogramma's/besturingselementen (gekoppeld aan sommige groepen)
Ransomware-aanvallen detecteren met de Microsoft Defender-portal
De Microsoft Defender portal biedt een gecentraliseerde weergave voor informatie over detecties, beïnvloede assets, geautomatiseerde acties en gerelateerd bewijsmateriaal, een combinatie van:
- Een incidentwachtrij, die gerelateerde waarschuwingen voor een aanval groepeert om het volledige aanvalsbereik, beïnvloede assets en geautomatiseerde herstelacties te bieden.
- Een waarschuwingswachtrij, waarin alle waarschuwingen worden vermeld die door Microsoft Defender XDR worden bijgehouden.
Incident- en waarschuwingsbronnen
Microsoft Defender portal centraliseert signalen van:
- Microsoft Defender voor Eindpunt
- Microsoft Defender voor Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps (inclusief de app-governance-invoegtoepassing)
- Microsoft Entra ID Protection
- Microsoft Defender voor IoT
Deze tabel bevat een aantal typische aanvallen en de bijbehorende signaalbron voor Microsoft Defender XDR.
| Aanvallen en incidenten | Signaalbron |
|---|---|
| Cloudidentiteit: wachtwoordspray, talloze mislukte pogingen, pogingen om in korte tijd aan te melden bij meerdere apparaten, meerdere aanmeldingen voor het eerst, onlangs actieve gebruikersaccounts | Microsoft Entra ID Protection |
| Inbreuk op on-premises identiteit (AD DS) | Defender for Identity |
| Phishing | Defender voor Office 365 |
| Schadelijke apps | Defender for Cloud Apps of Defender for Cloud Apps met app-governance-invoegtoepassing |
| Eindpunt (apparaat) inbreuk | Defender voor Eindpunt |
| IoT-compatibele apparaatinbreuk | Defender voor IoT |
Door ransomware geïdentificeerde incidenten filteren
U kunt de wachtrij met incidenten eenvoudig filteren op incidenten die door Microsoft Defender XDR zijn gecategoriseerd als ransomware.
- Ga in het navigatiedeelvenster Microsoft Defender portal naar de wachtrij incidenten door Incidenten en waarschuwingen > Incidenten te selecteren.
- Selecteer Filters.
- Selecteer onder Categorieënde optie Ransomware, selecteer Toepassen en sluit vervolgens het deelvenster Filters .
Elke filterinstelling voor de wachtrij voor incidenten maakt een URL die u kunt opslaan en later als een koppeling kunt openen. Deze URL's kunnen met één klik met een bladwijzer worden opgeslagen of op een andere manier worden opgeslagen en gebruikt. U kunt bijvoorbeeld bladwijzers maken voor:
- Incidenten die de categorie 'ransomware' bevatten. Hier is de bijbehorende koppeling.
- Incidenten met een opgegeven Actor-naam die ransomware-aanvallen uitvoert.
- Incidenten met een opgegeven geassocieerde bedreigingsnaam die bekend is om te worden gebruikt bij ransomware-aanvallen.
- Incidenten met een aangepaste tag die uw SecOps-team gebruikt voor incidenten waarvan bekend is dat ze deel uitmaken van een grotere, gecoördineerde ransomware-aanval.
Door ransomware geïdentificeerde bedreigingsanalyserapporten filteren
Net als bij het filteren van incidenten in de incidentwachtrij kunt u bedreigingsanalyserapporten filteren op rapporten die ransomware bevatten.
- Selecteer bedreigingsanalyse in het navigatiedeelvenster.
- Selecteer Filters.
- Selecteer onder Bedreigingstagsde optie Ransomware, selecteer Toepassen en sluit vervolgens het deelvenster Filters .
U kunt ook op deze koppeling klikken.
In de sectie Detectiedetails van veel bedreigingsanalyserapporten ziet u een lijst met waarschuwingsnamen die zijn gemaakt voor de bedreiging.
Microsoft Defender XDR API's
U kunt ook de Microsoft Defender XDR API's gebruiken om een query uit te voeren op de Microsoft Defender XDR gegevens over incidenten en waarschuwingen in uw tenant. Een aangepaste app kan de gegevens filteren, filteren op basis van aangepaste instellingen en vervolgens een gefilterde lijst met koppelingen naar waarschuwingen en incidenten bieden die u eenvoudig kunt selecteren om rechtstreeks naar die waarschuwing of incident te gaan. Zie De API voor incidenten weergeven in Microsoft Defender XDR| Microsoft Docs. U kunt uw SIEM ook integreren met Microsoft Defender. Zie Uw SIEM-hulpprogramma's integreren met Microsoft Defender XDR.
Microsoft Defender XDR Sentinel-integratie
Met de integratie van Microsoft Defender XDR incidenten van Microsoft Sentinel kunt u alle Microsoft Defender XDR incidenten streamen naar Microsoft Sentinel en deze gesynchroniseerd houden tussen beide portals. Incidenten omvatten alle bijbehorende waarschuwingen, entiteiten en relevante informatie. Eenmaal in Sentinel blijven incidenten bidirectioneel gesynchroniseerd met Microsoft Defender XDR, zodat u kunt profiteren van de voordelen van beide portals in uw incidentonderzoek. Zie Microsoft Defender XDR integratie met Microsoft Sentinel.
Proactief scannen met geavanceerde opsporing
Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's waarmee u gebeurtenissen in uw netwerk kunt verkennen en inspecteren om bedreigingsindicatoren en entiteiten te vinden. Dit flexibele en aanpasbare analyseprogramma maakt een onbeperkte opsporing van zowel bekende als potentiële bedreigingen mogelijk. Microsoft Defender XDR ondersteunt ook het gebruik van een aangepaste query om aangepaste detectieregels te maken, waardoor waarschuwingen op basis van een query kunnen worden gemaakt en kunnen worden gepland om automatisch te worden uitgevoerd.
Voor het proactief scannen van ransomware-activiteiten moet u een catalogus met geavanceerde opsporingsquery's samenstellen voor veelgebruikte ransomware-aanvalsmethoden voor identiteiten, eindpunten, apps en gegevens. Hier volgen enkele belangrijke bronnen voor gebruiksklare geavanceerde opsporingsquery's:
- Het artikel Hunt for ransomware
- GitHub-opslagplaats voor geavanceerde opsporingsquery's:
- Ransomware-specifieke query's
- Alle categorieën query's
- Rapporten voor bedreigingsanalyse
- Geavanceerde opsporingssectie van de Ransomware: een alomtegenwoordig en doorlopend rapport van bedreigingsanalisten
- Sectie Geavanceerde opsporing van andere analistenrapporten
Geautomatiseerde opsporing
Geavanceerde opsporingsquery's kunnen ook worden gebruikt om aangepaste detectieregels en acties te maken op basis van bekende elementen van een ransomware-aanvalsmethode (bijvoorbeeld het gebruik van ongebruikelijke PowerShell-opdrachten). Met aangepaste detectieregels worden waarschuwingen gemaakt die kunnen worden gezien en aangepakt door uw beveiligingsanalisten.
Als u een aangepaste detectieregel wilt maken, selecteert u Creatie aangepaste detectieregel op de pagina van een geavanceerde opsporingsquery. Zodra u het volgende hebt gemaakt, kunt u het volgende opgeven:
- Hoe vaak de aangepaste detectieregel moet worden uitgevoerd
- De ernst van de waarschuwing die door de regel is gemaakt
- De MITRE-aanvalsfase voor de gemaakte waarschuwing
- Beïnvloede entiteiten
- Acties die moeten worden uitgevoerd op betrokken entiteiten
Bereid uw SecOps-team voor op gerichte ransomwaredetectie
Het voorbereiden van uw SecOps-team op proactieve ransomwaredetectie vereist:
- Vooraf werken voor uw SecOps-team en organisatie
- Training van beveiligingsanalisten, indien nodig
- Doorlopend operationeel werk om de nieuwste aanvallen en detectie-ervaringen van uw beveiligingsanalisten op te nemen
Vooraf werken voor uw SecOps-team en organisatie
Overweeg deze stappen om uw SecOps-team en organisatie klaar te maken voor gerichte preventie van ransomware-aanvallen:
- Configureer uw IT- en cloudinfrastructuur voor het voorkomen van ransomware met de richtlijnen Snel ransomwarepreventie implementeren - Fase 3: Maak het moeilijk om aan de slag te gaan . De fasen en taken in deze richtlijnen kunnen parallel met de volgende stappen worden uitgevoerd.
- Haal de juiste licenties op voor de services Defender for Endpoint, Defender voor Office 365, Defender for Identity, Defender for Cloud Apps, de app-governance-invoegtoepassing, Defender for IoT en Microsoft Entra ID Protection.
- Stel een catalogus samen van geavanceerde opsporingsquery's die zijn afgestemd op bekende ransomware-aanvalsmethoden of aanvalsfasen.
- Creatie de set aangepaste detectieregels voor specifieke geavanceerde opsporingsquery's waarmee waarschuwingen worden gemaakt voor bekende ransomware-aanvalsmethoden, waaronder de planning, de naamgeving van waarschuwingen en geautomatiseerde acties.
- Bepaal de set aangepaste tags of standaarden om nieuwe te maken om incidenten te identificeren waarvan bekend is dat ze deel uitmaken van een grotere, gecoördineerde ransomware-aanval
- Bepaal de set operationele taken voor ransomware-incident- en waarschuwingsbeheer. Bijvoorbeeld:
- Processen voor het scannen van binnenkomende incidenten en waarschuwingen van laag 1-analisten en toewijzing aan laag 2-analisten voor onderzoek.
- Handmatig uitvoeren van geavanceerde opsporingsquery's en hun planning (dagelijks, wekelijks, maandelijks).
- Doorlopende wijzigingen op basis van onderzoek naar ransomware-aanvallen en risicobeperkingservaringen.
Training voor beveiligingsanalisten
Indien nodig kunt u uw beveiligingsanalisten voorzien van interne training voor:
- Algemene ransomware-aanvalsketens (MITRE-aanvaltactieken en veelvoorkomende bedreigingstechnieken en malware)
- Incidenten en waarschuwingen en hoe u deze kunt vinden en analyseren in de Microsoft Defender portal met behulp van:
- Waarschuwingen en incidenten die al zijn gemaakt door Microsoft Defender XDR
- Vooraf gescande URL-filters voor de Microsoft Defender-portal
- Programmatisch via de incidenten-API
- Geavanceerde opsporingsquery's te gebruiken en hun handmatige planning (dagelijks, wekelijks, maandelijks)
- Aangepaste detectieregels en hun instellingen
- Aangepaste incidenttags
- De meest recente bedreigingsanalyserapporten voor ransomware-aanvallen in de Microsoft Defender-portal
Doorlopend werk op basis van operationeel leren en nieuwe bedreigingen
Als onderdeel van de doorlopende hulpprogramma's en proces best practices van uw SecOps-team en de ervaringen van beveiligingsanalisten, moet u het volgende doen:
- Werk uw catalogus met geavanceerde opsporingsquery's bij met:
- Nieuwe query's op basis van de nieuwste bedreigingsanalyserapporten in de Microsoft Defender-portal of de GitHub-opslagplaats advanced hunting.
- Wijzigingen in bestaande om te optimaliseren voor bedreigingsidentificatie of voor een betere waarschuwingskwaliteit.
- Aangepaste detectieregels bijwerken op basis van nieuwe of gewijzigde geavanceerde opsporingsquery's.
- Werk de set operationele taken voor ransomwaredetectie bij.
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.