Reagowanie na ataki związane z oprogramowaniem wymuszającym okup

Uwaga

Chcesz skorzystać z usługi Microsoft Defender XDR? Dowiedz się więcej o tym, jak można oceniać i pilotować usługę Microsoft Defender XDR.

Jeśli podejrzewasz, że jesteś lub jesteś obecnie objęty atakiem wymuszającym okup, natychmiast nawiązać bezpieczną komunikację z zespołem reagowania na zdarzenia. Mogą wykonać następujące fazy odpowiedzi, aby zakłócić atak i wyeliminować szkody:

• Badanie i hermetyzowanie
• Eliminacja i odzyskiwanie

Ten artykuł zawiera uogólniony podręcznik do reagowania na ataki wymuszające okup. Rozważ dostosowanie opisanych kroków i zadań w tym artykule do własnego podręcznika operacji zabezpieczeń. UWAGA: Aby uzyskać informacje na temat zapobiegania atakom wymuszającym okup, zobacz Szybkie wdrażanie profilaktyki oprogramowania wymuszającego okup.

Zamknięcia

Hermetyzowanie i badanie powinno nastąpić tak samo, jak to możliwe; Jednak należy skupić się na szybkim osiągnięciu hermetyzowania, aby mieć więcej czasu na zbadanie. Te kroki ułatwiają określenie zakresu ataku i odizolowanie go tylko do jednostek, których dotyczy problem, takich jak konta użytkowników i urządzenia.

Krok 1. Ocena zakresu zdarzenia

Przejmij tę listę pytań i zadań, aby odkryć zakres ataku. Microsoft Defender XDR może przedstawić skonsolidowany widok wszystkich aktywów, których dotyczy problem lub które są zagrożone, aby pomóc w ocenie reagowania na zdarzenia. Zobacz Reagowanie na zdarzenia za pomocą Microsoft Defender XDR. Możesz użyć alertów i listy dowodów w zdarzeniu, aby określić:

• Które konta użytkowników mogą zostać naruszone?
  • Które konta zostały użyte do dostarczenia ładunku?
• Na które urządzenia dołączone i odnalezione wpływa problem i w jaki sposób?
  • Urządzenia źródłowe
  • Urządzenia, na które ma to wpływ
  • Podejrzane urządzenia
• Zidentyfikuj wszelkie komunikacje sieciowe skojarzone ze zdarzeniem.
• Których aplikacji dotyczy problem?
• Jakie ładunki zostały rozłożone?
• W jaki sposób osoba atakująca komunikuje się z urządzeniami z naruszonymi zabezpieczeniami? (Ochrona sieci musi być włączona):
  • Przejdź do strony wskaźników , aby dodać blok dla adresu IP i adresu URL (jeśli masz te informacje).
• Jaki był nośnik dostawy ładunku?

Krok 2. Zachowywanie istniejących systemów

Przejmij tę listę zadań i pytań, aby chronić istniejące systemy przed atakiem:

• Jeśli masz kopie zapasowe online, rozważ odłączenie systemu kopii zapasowych od sieci, dopóki nie masz pewności, że atak jest zawarty, zobacz Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup | Microsoft Docs.
• Jeśli doświadczasz lub spodziewasz się nieuchronnego i aktywnego wdrożenia oprogramowania wymuszającego okup:
  • Wstrzymywanie kont uprzywilejowanych i lokalnych , które podejrzewasz, że są częścią ataku. Można to zrobić na karcie Użytkownicy we właściwościach zdarzenia w portalu Microsoft Defender.
  • Zatrzymaj wszystkie sesje logowania zdalnego.
  • Zresetuj hasła konta użytkownika, których zabezpieczenia zostały naruszone, i wymagaj od użytkowników kont użytkowników, których zabezpieczenia zostały naruszone, ponownego zalogowania się.
  • Zrób to samo w przypadku kont użytkowników, których bezpieczeństwo może zostać naruszone.
  • Jeśli udostępnione konta lokalne zostaną naruszone, skontaktuj się z administratorem IT w celu wymuszenia zmiany hasła na wszystkich uwidocznionych urządzeniach. Przykładowe zapytanie Kusto:

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• W przypadku urządzeń, które nie są jeszcze odizolowane i nie są częścią infrastruktury krytycznej:
  • Wyizoluj urządzenia, które zostały naruszone, od sieci, ale nie wyłączaj ich.
  • Jeśli zidentyfikujesz urządzenia źródłowe lub rozrzutne, najpierw wyizoluj je.
• Zachowaj naruszone systemy do analizy.

Krok 3. Zapobieganie rozprzestrzenianiu się

Użyj tej listy, aby zapobiec rozprzestrzenianiu się ataku na dodatkowe jednostki.

• Jeśli w ataku są używane udostępnione konta lokalne, rozważ zablokowanie zdalnego użycia kont lokalnych.
  • Zapytanie Kusto dla wszystkich logowania sieciowego, które są administratorami lokalnymi:

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Zapytanie Kusto dotyczące logowania bez protokołu RDP (bardziej realistyczne dla większości sieci):

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Kwarantanna i dodawanie wskaźników dla zainfekowanych plików.
• Upewnij się, że rozwiązanie antywirusowe można skonfigurować w optymalnym stanie ochrony. W przypadku programu antywirusowego Microsoft Defender obejmuje to:
  • Ochrona w czasie rzeczywistym jest włączona.
  • Ochrona przed naruszeniami jest włączona. W portalu Microsoft Defender wybierz pozycję Ustawienia > Punkty końcowe > Funkcje > zaawansowane Ochrona przed naruszeniami.
  • Włączone są reguły zmniejszania obszaru podatnego na ataki.
  • Ochrona w chmurze jest włączona.
• Wyłącz Exchange ActiveSync i synchronizacja usługi OneDrive.
  • Aby wyłączyć Exchange ActiveSync dla skrzynki pocztowej, zobacz Jak wyłączyć Exchange ActiveSync dla użytkowników w Exchange Online.
  • Aby wyłączyć inne typy dostępu do skrzynki pocztowej, zobacz:
    • Włącz lub wyłącz mapę MAPI dla skrzynki pocztowej.
    • Włączanie lub wyłączanie dostępu POP3 lub IMAP4 dla użytkownika.
  • Wstrzymanie synchronizacja usługi OneDrive pomaga chronić dane w chmurze przed aktualizacją przez potencjalnie zainfekowane urządzenia. Aby uzyskać więcej informacji, zobacz Jak wstrzymać i wznowić synchronizację w usłudze OneDrive.
• Zastosuj odpowiednie poprawki i zmiany konfiguracji w systemach, których dotyczy problem.
• Blokuj komunikację z oprogramowaniem wymuszającym okup przy użyciu wewnętrznych i zewnętrznych mechanizmów kontroli.
• Przeczyszczanie buforowanej zawartości

Dochodzenia

Użyj tej sekcji, aby zbadać atak i zaplanować odpowiedź.

Ocena bieżącej sytuacji

• Co początkowo uświadomiło Ci atak ransomware?
  • Jeśli pracownicy IT zidentyfikowali początkowe zagrożenie, takie jak zauważenie usuniętych kopii zapasowych, alerty antywirusowe, alerty wykrywania punktów końcowych i reagowania (EDR) lub podejrzane zmiany systemu, często można podjąć szybkie zdecydowane środki w celu udaremnienia ataku, zazwyczaj przez akcje hermetyzowania opisane w tym artykule.
• Jaka data i godzina po raz pierwszy dowiedziała się o zdarzeniu?
  • Jakie aktualizacje systemu i zabezpieczeń nie zostały zainstalowane na urządzeniach w tym dniu? Jest to ważne, aby zrozumieć, jakie luki w zabezpieczeniach mogły zostać użyte, aby można je było rozwiązać na innych urządzeniach.
  • Jakie konta użytkowników były używane w tym dniu?
  • Jakie nowe konta użytkowników zostały utworzone od tej daty?
  • Jakie programy zostały dodane do automatycznego uruchamiania w czasie wystąpienia zdarzenia?
• Czy istnieją jakiekolwiek oznaki, że osoba atakująca obecnie uzyskuje dostęp do systemów?
  • Czy istnieją jakieś podejrzane systemy, których bezpieczeństwo zostało naruszone, które doświadczają nietypowej aktywności?
  • Czy istnieją jakieś podejrzane konta, które wydają się być aktywnie używane przez przeciwnika?
  • Czy istnieją jakieś dowody aktywnych serwerów poleceń i kontroli (C2) w EDR, zaporze, sieci VPN, internetowym serwerze proxy i innych dziennikach?

Identyfikowanie procesu wymuszania okupu

• Korzystając z zaawansowanego wyszukiwania zagrożeń, wyszukaj zidentyfikowany proces w zdarzeniach tworzenia procesu na innych urządzeniach.

Wyszukiwanie poświadczeń uwidocznionych na zainfekowanych urządzeniach

• W przypadku kont użytkowników, których poświadczenia zostały potencjalnie naruszone, zresetuj hasła konta i wymagaj od użytkowników ponownego zalogowania się.
• Następujące we/wy mogą wskazywać na ruch boczny:

Kliknij, aby rozwinąć

• SuspiciousExploratoryCommands
• MLFileBasedAlert
• IfeoDebuggerPersistence
• SuspiciousRemoteFileDropAndExecution
• ExploratoryWindowsCommands
• IoaStickyKeys
• Mimikatz Defender Amplifier
• Narzędzie do skanowania sieci używane przez PARINACOTA
• DefenderServerAlertMSSQLServer
• SuspiciousLowReputationFileDrop
• SuspiciousServiceExecution
• AdminUserAddition
• MimikatzArtifactsDetector
• Scuba-WdigestEnabledToAccessCredentials
• DefenderMalware
• MLSuspCmdBehavior
• MLSuspiciousRemoteInvocation
• SuspiciousRemoteComponentInvocation
• SuspiciousWmiProcessCreation
• MLCmdBasedWithRemoting
• Proces uzyskuje dostęp do Lsass
• Podejrzane wykonywanie procesu Rundll32
• BitsAdmin
• DefenderCobaltStrikeDetection
• DefenderHacktool
• IoaSuspPSCommandline
• Metasploit
• MLSuspToolBehavior
• RegistryQueryForPasswords
• SuspiciousWdavExclusion
• ASEPRegKey
• CobaltStrikeExecutionDetection
• DefenderBackdoor
• DefenderBehaviorSuspiciousActivity
• DefenderMalwareExecuted
• DefenderServerAlertDomainController
• DupTokenPrivilegeEscalationDetector
• FakeWindowsBinary
• IoaMaliciousCmdlets
• LivingOffTheLandBinary
• MicrosoftSignedBinaryAbuse
• MicrosoftSignedBinaryScriptletAbuse
• MLFileBasedWithRemoting
• MLSuspSvchostBehavior
• ReadSensitiveMemory
• RemoteCodeInjection-IREnabled
• Scuba-EchoSeenOverPipeOnLocalhost
• Scuba-SuspiciousWebScriptFileDrop
• Podejrzana rejestracja biblioteki DLL przez odbcconf
• Podejrzane działanie DPAPI
• Podejrzane wykonywanie procesu programu Exchange
• Podejrzane zaplanowane uruchomienie zadania
• SuspiciousLdapQueryDetector
• SuspiciousScheduledTaskRegistration
• Niezaufana aplikacja otwiera połączenie RDP

Identyfikowanie aplikacji biznesowych, które są niedostępne z powodu zdarzenia

• Czy aplikacja wymaga tożsamości?
  • Jak jest wykonywane uwierzytelnianie?
  • W jaki sposób poświadczenia, takie jak certyfikaty lub wpisy tajne, są przechowywane i zarządzane?
• Czy są dostępne ocenione kopie zapasowe aplikacji, jej konfiguracja i dane?
• Określanie procesu odzyskiwania naruszenia zabezpieczeń.

Eliminacja i odzyskiwanie

Wykonaj te kroki, aby wyeliminować zagrożenie i odzyskać uszkodzone zasoby.

Krok 1. Weryfikowanie kopii zapasowych

Jeśli masz kopie zapasowe w trybie offline, prawdopodobnie możesz przywrócić dane, które zostały zaszyfrowane po usunięciu ładunku ransomware (złośliwego oprogramowania) ze środowiska i po sprawdzeniu, że nie ma nieautoryzowanego dostępu w dzierżawie usługi Microsoft 365.

Krok 2. Dodawanie wskaźników

Dodaj wszystkie znane kanały komunikacji atakującej jako wskaźniki, zablokowane w zaporach, na serwerach proxy i w punktach końcowych.

Krok 3. Resetowanie naruszeń zabezpieczeń użytkowników

Zresetuj hasła wszystkich znanych kont użytkowników, których zabezpieczenia zostały naruszone, i wymagaj nowego logowania.

• Rozważ zresetowanie haseł dla dowolnego konta uprzywilejowanego z szerokimi uprawnieniami administracyjnymi, takimi jak członkowie grupy Administratorzy domeny.
• Jeśli osoba atakująca mogła utworzyć konto użytkownika, wyłącz to konto. Nie usuwaj konta, chyba że nie ma planów przeprowadzenia analizy bezpieczeństwa dla zdarzenia.

Krok 4. Izolowanie punktów kontroli osoby atakującej

Odizoluj wszystkie znane punkty kontroli osoby atakującej w przedsiębiorstwie od Internetu.

Krok 5. Usuwanie złośliwego oprogramowania

Usuń złośliwe oprogramowanie z urządzeń, których dotyczy problem.

• Uruchom pełne, bieżące skanowanie antywirusowe na wszystkich podejrzanych komputerach i urządzeniach, aby wykryć i usunąć ładunek skojarzony z oprogramowaniem wymuszającym okup.
• Nie zapomnij przeskanować urządzeń synchronizowanych z danymi lub obiektów docelowych zamapowanych dysków sieciowych.

Krok 6. Odzyskiwanie plików na oczyszczonym urządzeniu

Odzyskiwanie plików na oczyszczonym urządzeniu.

• Historię plików można użyć w systemie Windows 11, Windows 10, Windows 8.1 i system protection w systemie Windows 7, aby spróbować odzyskać lokalne pliki i foldery.

Krok 7. Odzyskiwanie plików w OneDrive dla Firm

Odzyskiwanie plików w OneDrive dla Firm.

• Przywracanie plików w OneDrive dla Firm umożliwia przywrócenie całej usługi OneDrive do poprzedniego punktu w czasie w ciągu ostatnich 30 dni. Aby uzyskać więcej informacji, zobacz artykuł Przywracanie w usłudze OneDrive.

Krok 8. Odzyskiwanie usuniętej wiadomości e-mail

Odzyskaj usuniętą wiadomość e-mail.

• W rzadkich przypadkach, gdy oprogramowanie wymuszające okup usunęło całą wiadomość e-mail w skrzynce pocztowej, możesz odzyskać usunięte elementy. Zobacz Odzyskiwanie usuniętych wiadomości w skrzynce pocztowej użytkownika w Exchange Online.

Krok 9. Ponowne włączanie Exchange ActiveSync i synchronizacja usługi OneDrive

• Po oczyszczeniu komputerów i urządzeń oraz odzyskaniu danych można ponownie włączyć Exchange ActiveSync i synchronizacja usługi OneDrive, które zostały wcześniej wyłączone w kroku 3 hermetyzowania.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.