Detectando ataques de ransomware operados por humanos com o Microsoft Defender XDR
Observação
Quer experimentar Microsoft Defender XDR? Saiba mais sobre como você pode avaliar e pilotar Microsoft Defender XDR.
O Ransomware é um tipo de ataque de extorsão que destrói ou criptografa arquivos e pastas, impedindo o acesso a dados críticos ou interrompendo sistemas comerciais críticos. Há dois tipos de ransomware:
- O ransomware de commodities é um malware que se espalha com phishing ou entre dispositivos e criptografa arquivos antes de exigir um resgate.
- O ransomware operado por humanos é um ataque planejado e coordenado por cibercriminosos ativos que empregam vários métodos de ataque. Em muitos casos, técnicas e ferramentas conhecidas são usadas para se infiltrar em sua organização, localizar os ativos ou sistemas que valem a pena extorquir e, em seguida, exigir um resgate. Ao comprometer uma rede, o invasor realiza o reconhecimento de ativos e sistemas que podem ser criptografados ou extorquidos. Em seguida, os invasores criptografam ou exfiltram dados antes de exigir um resgate.
Este artigo descreve a detecção proativa de ataques de ransomware novos ou contínuos operados por humanos com o portal Microsoft Defender, uma solução XDR (detecção e resposta estendida) para os seguintes serviços de segurança:
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Office 365
- Microsoft Defender para Identidade?
- Microsoft Defender para Aplicativos de Nuvem (incluindo o complemento de governança do aplicativo)
- Microsoft Entra ID Protection
- Microsoft Defender para IoT
- Microsoft 365 Business Premium
- Microsoft Defender para Empresas
Para obter informações sobre como evitar ataques de ransomware, confira Implantar rapidamente prevenções de ransomware – Fase 3: dificultar a entrada.
A importância da detecção proativa
Como o ransomware operado pelo homem normalmente é executado por invasores ativos que podem estar executando as etapas para se infiltrar e descobrir seus dados e sistemas mais valiosos em tempo real, o tempo necessário para detectar ataques de ransomware é crucial.
Se as atividades de pré-resgate forem detectadas rapidamente, a probabilidade de um ataque severo diminuirá. O estágio de pré-resgate normalmente inclui as seguintes técnicas: acesso inicial, reconhecimento, roubo de credencial, movimentação lateral e persistência. Essas técnicas podem inicialmente parecer não relacionadas e muitas vezes voar sob o radar. Se essas técnicas levarem ao estágio de resgate, muitas vezes é tarde demais. Microsoft Defender XDR pode ajudar a identificar esses incidentes pequenos e aparentemente não relacionados como possivelmente parte de uma campanha de ransomware maior.
- Quando detectado durante o estágio de pré-resgate, mitigações de menor escala, como isolar dispositivos infectados ou contas de usuário, podem ser usadas para interromper e corrigir o ataque.
- Se a detecção vier em um estágio posterior, como quando o malware usado para criptografar arquivos está sendo implantado, etapas de correção mais agressivas que podem causar tempo de inatividade podem precisar ser usadas para interromper e corrigir o ataque.
As interrupções nas operações comerciais são prováveis ao responder a um ataque de ransomware. O estágio final de um ataque de ransomware geralmente é uma escolha entre o tempo de inatividade causado por invasores com grandes riscos ou um tempo de inatividade controlado para garantir a segurança da rede e dar-lhe tempo para investigar totalmente. Nunca recomendamos pagar um resgate. Pagar cibercriminosos para obter uma chave de descriptografia de ransomware não fornece nenhuma garantia de que seus dados criptografados serão restaurados. Veja, Resposta do Ransomware – Microsoft Security Blog.
Aqui está a relação qualitativa do impacto de um ataque de ransomware e seu tempo para responder por nenhuma detecção versus detecção proativa e resposta.
Detecção proativa por meio de ferramentas e técnicas comuns de malware
Em muitos casos, os invasores de ransomware operados por humanos usam táticas de malware conhecidas e testadas em campo, técnicas, ferramentas e procedimentos, incluindo phishing, compromisso de email comercial (BEC) e roubo de credenciais. Seus analistas de segurança devem se familiarizar e conhecer como os invasores usam métodos comuns de malware e ataque cibernético para obter uma base em sua organização.
Para ver exemplos de como os ataques de ransomware são iniciados com malware comum, confira estes recursos:
- Ataques de ransomware operados por humanos: um desastre evitável
- Relatórios de análise de ameaças de ransomware no portal do Microsoft Defender
Estar familiarizado com malware, cargas e atividades pré-resgate ajuda seus analistas a saber o que procurar para evitar os estágios posteriores de um ataque.
Táticas de ataque de ransomware operadas por humanos
Como o ransomware operado pelo homem pode usar técnicas e ferramentas de ataque conhecidas, o entendimento e a experiência de seus analistas com técnicas e ferramentas de ataque existentes serão um ativo valioso ao preparar sua equipe do SecOps para práticas de detecção de ransomware focadas.
Táticas e métodos de ataque
Aqui estão algumas técnicas e ferramentas típicas usadas por invasores de ransomware para as seguintes táticas do MITRE ATT&CK :
Acesso inicial:
- Força bruta RDP
- Sistema voltado para a Internet vulnerável
- Configurações de aplicativo fracas
- Email de phishing
Roubo de credencial:
- Mimikatz
- Segredos LSA
- Cofre de credenciais
- Credenciais em texto sem formatação
- Abuso de contas de serviço
Movimento lateral:
- Ataque de Cobalto
- WMI
- Abuso de ferramentas de gerenciamento
- Psexec
Persistência:
- Novas contas
- Alterações de GPO
- Ferramentas de TI de sombra
- Agendar tarefas
- Registro de serviço
Evasão de defesa:
- Desabilitar recursos de segurança
- Limpar arquivos de log
- Excluindo arquivos de artefato de ataque
- Redefinindo carimbos de data/hora em arquivos alterados
Exfiltração:
- Exfiltração de impacto de dados confidenciais (alavancagem financeira):
- Criptografia de dados em vigor e em backups
- Exclusão de dados no local e backups, que podem ser combinados com uma exfiltração anterior
- Ameaça de vazamento público de dados confidenciais e exfiltrados
O que procurar
O desafio para os analistas de segurança é reconhecer quando um alerta faz parte de uma cadeia de ataque maior com o objetivo de extorquir seus dados confidenciais ou sistemas cruciais. Por exemplo, um ataque de phishing detectado pode ser:
- Um ataque pontual para vigiar as mensagens de email de alguém no departamento financeiro de uma organização.
- A parte de pré-resgate de uma cadeia de ataque para usar credenciais de conta de usuário comprometidas para descobrir os recursos disponíveis para a conta de usuário e comprometer outras contas de usuário com níveis mais altos de privilégio e acesso.
Esta seção fornece fases e métodos de ataque comuns e as fontes de sinal que se alimentam do portal central Microsoft Defender, que cria alertas e incidentes compostos por vários alertas relacionados para análise de segurança. Em alguns casos, há portais de segurança alternativos para exibir os dados de ataque.
Ataques iniciais para obter entrada
O invasor está tentando comprometer uma conta de usuário, dispositivo ou aplicativo.
| Método Attack | Fonte de sinal | Portais de segurança alternativos |
|---|---|---|
| Força bruta RDP | Pilot Defender para Ponto de Extremidade | Aplicativos do Defender para Nuvem |
| Sistema voltado para a Internet vulnerável | Recursos de segurança do Windows, Microsoft Defender para servidores | |
| Configurações de aplicativo fracas | Defender para Aplicativos na Nuvem, Defender para Aplicativos na Nuvem com o complemento de governança do aplicativo | Aplicativos do Defender para Nuvem |
| Atividade de aplicativo mal-intencionado | Defender para Aplicativos na Nuvem, Defender para Aplicativos na Nuvem com o complemento de governança do aplicativo | Aplicativos do Defender para Nuvem |
| Email de phishing | O que é o Defender para Office 365? | |
| Pulverização de senha em contas de Microsoft Entra | Microsoft Entra ID Protection via Defender para Aplicativos de Nuvem | Aplicativos do Defender para Nuvem |
| Pulverização de senha em contas locais | Microsoft Defender para Identidade | |
| Comprometimento de dispositivo | Defender para Ponto de Extremidade | |
| Furto de credenciais | Microsoft Defender para Identidade | |
| Escalonamento de privilégio | Microsoft Defender para Identidade |
Pico recente no comportamento típico de outra forma
O invasor está tentando investigar se entidades adicionais serão comprometidas.
| Categoria Spike | Fonte de sinal | Portais de segurança alternativos |
|---|---|---|
| Entradas: Várias tentativas com falha, tentativas de logon em vários dispositivos em um curto período, vários logons de primeira hora etc. | Microsoft Entra ID Protection via Defender para Aplicativos de Nuvem, Microsoft Defender para Identidade | Aplicativos do Defender para Nuvem |
| Conta de usuário, grupo, conta de máquina, aplicativo recentemente ativo | Microsoft Entra ID Protection via Defender para Aplicativos de Nuvem (Microsoft Entra ID), Defender para Identidade (Active Directory Domain Services [AD DS]) | Aplicativos do Defender para Nuvem |
| Atividades recentes do aplicativo, como acesso a dados | Aplicativos com o Defender para Aplicativos na Nuvem com o complemento de governança do aplicativo | Aplicativos do Defender para Nuvem |
Nova atividade
O invasor está criando novas entidades para aumentar seu alcance, instalar agentes de malware ou evitar a detecção.
| Atividade | Fonte de sinal | Portal de segurança alternativo |
|---|---|---|
| Novos aplicativos instalados | Defender para Aplicativos na Nuvem com o complemento de governança do aplicativo | Aplicativos do Defender para Nuvem |
| Novas contas de usuário | Proteção de Identidade do Azure | Aplicativos do Defender para Nuvem |
| Alterações de função | Proteção de Identidade do Azure | Aplicativos do Defender para Nuvem |
Comportamento suspeito
O invasor está baixando informações confidenciais, criptografando arquivos ou coletando ou danificando ativos da organização.
| Comportamento | Fonte de sinal |
|---|---|
| Malware espalhado para vários dispositivos | Pilot Defender para Ponto de Extremidade |
| Verificação de recursos | Defender para Ponto de Extremidade, Defender para Identidade |
| Alterações nas regras de encaminhamento de caixa de correio | O que é o Defender para Office 365? |
| Exfiltração e criptografia de dados | O que é o Defender para Office 365? |
-*Monitorar para a segurança desabilitação do adversário** – como isso geralmente faz parte da cadeia de ataque do HumOR (ransomware operado pelo homem)
- Compensação de logs de eventos – especialmente o log de eventos de segurança e os logs operacionais do PowerShell
- Desabilitação de ferramentas/controles de segurança (associados a alguns grupos)
Detectar ataques de ransomware com o portal Microsoft Defender
O portal Microsoft Defender fornece uma exibição centralizada para informações sobre detecções, ativos afetados, ações automatizadas realizadas e evidências relacionadas de uma combinação de:
- Uma fila de incidentes, que agrupa alertas relacionados para um ataque para fornecer o escopo de ataque completo, ativos afetados e ações de correção automatizadas.
- Uma fila de alertas, que lista todos os alertas que estão sendo rastreados por Microsoft Defender XDR.
Fontes de alerta e incidentes
Microsoft Defender portal centraliza os sinais de:
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Office 365
- Microsoft Defender para Identidade?
- Microsoft Defender para Aplicativos de Nuvem (incluindo o complemento de governança do aplicativo)
- Microsoft Entra ID Protection
- Microsoft Defender para IoT
Esta tabela lista alguns ataques típicos e sua fonte de sinal correspondente para Microsoft Defender XDR.
| Ataques e incidentes | Fonte de sinal |
|---|---|
| Identidade de nuvem: spray de senha, várias tentativas com falha, tentativas de fazer logon em vários dispositivos em um curto período, vários logons de primeira hora, contas de usuário ativas recentemente | Microsoft Entra ID Protection |
| Compromisso de identidade local (AD DS) | Defender para Identidade |
| Phishing | O que é o Defender para Office 365? |
| Aplicativos mal-intencionados | Defender para Aplicativos de Nuvem ou Defender para Aplicativos na Nuvem com complemento de governança de aplicativo |
| Comprometimento do ponto de extremidade (dispositivo) | Pilot Defender para Ponto de Extremidade |
| Comprometimento do dispositivo com capacidade para IoT | Defender para IoT |
Filtrando incidentes identificados por ransomware
Você pode filtrar facilmente a fila de incidentes para incidentes categorizados por Microsoft Defender XDR como ransomware.
- No painel de navegação do portal Microsoft Defender, vá para a fila de incidentes selecionando Incidentes e alertas > Incidentes.
- Selecione Filtros.
- Em Categorias, selecione Ransomware, selecione Aplicar e feche o painel Filtros .
Cada configuração de filtro para a fila de incidentes cria uma URL que você pode salvar e acessar posteriormente como um link. Essas URLs podem ser marcadas ou salvas e usadas quando necessárias em um único clique. Por exemplo, você pode criar indicadores para:
- Incidentes que contêm a categoria "ransomware". Aqui está o link correspondente.
- Incidentes com um nome de ator especificado conhecido por estar executando ataques de ransomware.
- Incidentes com um nome de ameaça associado especificado conhecido por ser usado em ataques de ransomware.
- Incidentes que contêm uma marca personalizada que sua equipe do SecOps usa para incidentes que são conhecidos por fazer parte de um ataque de ransomware maior e coordenado.
Filtrando relatórios de análise de ameaças identificados por ransomware
Semelhante à filtragem de incidentes na fila de incidentes, você pode filtrar relatórios de análise de ameaças para relatórios que incluem ransomware.
- No painel de navegação, selecione Análise de ameaças.
- Selecione Filtros.
- Em Marcas de ameaça, selecione Ransomware, selecione Aplicar e feche o painel Filtros .
Você também pode clicar neste link.
Na seção Detalhes de detecção de muitos relatórios de análise de ameaças, você pode ver uma lista de nomes de alerta criados para a ameaça.
APIs do Microsoft Defender XDR
Você também pode usar as APIs Microsoft Defender XDR para consultar os dados de Microsoft Defender XDR incidentes e alertas em seu locatário. Um aplicativo personalizado pode filtrar os dados, filtre-os com base em configurações personalizadas e, em seguida, fornecer uma lista filtrada de links para alertas e incidentes que você pode selecionar facilmente para ir direto para esse alerta ou incidente. Confira API de incidentes de lista no Microsoft Defender XDR| Microsoft Docs. Você também pode integrar seu SIEM ao Microsoft Defender, consulte Integrar suas ferramentas SIEM com Microsoft Defender XDR.
Integração do Microsoft Defender XDR Sentinel
A integração de incidentes Microsoft Defender XDR do Microsoft Sentinel permite transmitir todos os incidentes Microsoft Defender XDR para o Microsoft Sentinel e mantê-los sincronizados entre ambos os portais. Os incidentes incluem todos os alertas, entidades e informações relevantes associados. Uma vez no Sentinel, os incidentes permanecerão sincronizados bidirecionalmente com Microsoft Defender XDR, permitindo que você aproveite os benefícios de ambos os portais em sua investigação de incidentes. Veja, Microsoft Defender XDR integração com o Microsoft Sentinel.
Verificação proativa com a caça avançada
A caça avançada é uma ferramenta de busca de ameaças baseada em consulta que permite explorar e inspecionar eventos em sua rede para localizar indicadores e entidades de ameaça. Essa ferramenta de análise flexível e personalizável permite a busca sem restrições para ameaças conhecidas e potenciais. Microsoft Defender XDR também dá suporte ao uso de uma consulta personalizada para criar regras de detecção personalizadas, que criam alertas com base em uma consulta e agendadas para serem executadas automaticamente.
Para verificação proativa de atividades de ransomware, você deve montar um catálogo de consultas de caça avançadas para métodos de ataque de ransomware comumente usados para identidades, pontos de extremidade, aplicativos e dados. Aqui estão algumas fontes-chave para consultas de caça avançada prontas para uso:
- O artigo Hunt for ransomware
- Repositório github para consultas de caça avançadas:
- Consultas específicas de ransomware
- Todas as categorias de consultas
- Relatórios de análise de ameaças
- Seção de caça avançada do Ransomware: um relatório generalizado e contínuo de analistas de ameaças
- Seção de caça avançada de outros relatórios de analistas
Caça automatizada
Consultas de caça avançadas também podem ser usadas para criar regras e ações de detecção personalizadas com base em elementos conhecidos de um método de ataque de ransomware (por exemplo, o uso de comandos incomuns do PowerShell). As regras de detecção personalizadas criam alertas que podem ser vistos e abordados pelos analistas de segurança.
Para criar uma regra de detecção personalizada, selecione Create regra de detecção personalizada na página de uma consulta de caça avançada. Depois de criado, você pode especificar:
- Com que frequência executar a regra de detecção personalizada
- A gravidade do alerta criado pela regra
- A fase de ataque do MITRE para o alerta criado
- Entidades afetadas
- Ações para assumir entidades afetadas
Preparar sua equipe do SecOps para detecção de ransomware focada
Preparar sua equipe do SecOps para detecção proativa de ransomware requer:
- Pré-trabalho para sua equipe e organização do SecOps
- Treinamento de analista de segurança, conforme necessário
- Trabalho operacional contínuo para incorporar as experiências mais recentes de ataques e detecção de seus analistas de segurança
Pré-trabalho para sua equipe e organização do SecOps
Considere estas etapas para preparar sua equipe e organização do SecOps para a prevenção de ataque de ransomware focada:
- Configure sua infraestrutura de TI e nuvem para prevenção de ransomware com as prevenções de ransomware de implantação rápida – Fase 3: dificultar a obtenção de diretrizes. As fases e tarefas nesta diretriz podem ser feitas em paralelo com as etapas a seguir.
- Obtenha as licenças apropriadas para os serviços Defender para Ponto de Extremidade, Defender para Office 365, Defender para Identidade, Defender para Nuvem, complemento de governança de aplicativo, Defender para IoT e Microsoft Entra ID Protection serviços.
- Monte um catálogo de consultas de caça avançadas ajustadas para métodos de ataque de ransomware conhecidos ou fases de ataque.
- Create o conjunto de regras de detecção personalizadas para consultas de caça avançadas específicas que criam alertas para métodos de ataque de ransomware conhecidos, incluindo sua agenda, nomenclatura de alertas e ações automatizadas.
- Determine o conjunto de marcas ou padrões personalizados para criar um novo para identificar incidentes conhecidos por fazer parte de um ataque de ransomware maior e coordenado
- Determine o conjunto de tarefas operacionais para gerenciamento de incidentes e alertas de ransomware. Por exemplo:
- Processos para a verificação de analistas de nível 1 de incidentes e alertas de entrada e atribuição aos analistas de nível 2 para investigação.
- Executando manualmente consultas avançadas de caça e sua agenda (diárias, semanais, mensais).
- Alterações contínuas com base em experiências de investigação e mitigação de ataques de ransomware.
Treinamento de analista de segurança
Conforme necessário, você pode fornecer aos analistas de segurança treinamento interno para:
- Cadeias de ataque comuns de ransomware (táticas de ataque MITRE e técnicas comuns de ameaça e malware)
- Incidentes e alertas e como localizá-los e analisá-los no portal Microsoft Defender usando:
- Alertas e incidentes já criados por Microsoft Defender XDR
- Filtros baseados em URL pré-verificados para o portal Microsoft Defender
- Programaticamente por meio da API de incidentes
- Consultas de caça avançadas a serem usadas e sua agenda manual (diárias, semanais, mensais)
- Regras de detecção personalizadas a serem usadas e suas configurações
- Marcas de incidente personalizadas
- Os relatórios mais recentes de análise de ameaças para ataques de ransomware no portal do Microsoft Defender
Trabalho contínuo com base no aprendizado operacional e novas ameaças
Como parte da ferramenta contínua da equipe do SecOps e processar as melhores práticas e as experiências dos analistas de segurança, você deve:
- Atualize seu catálogo de consultas de caça avançadas com:
- Novas consultas com base nos relatórios mais recentes de análise de ameaças no portal do Microsoft Defender ou no repositório GitHub de Caça Avançada.
- Alterações nas existentes para otimizar para identificação de ameaças ou para melhor qualidade de alerta.
- Atualize as regras de detecção personalizadas com base em consultas de caça avançadas novas ou alteradas.
- Atualize o conjunto de tarefas operacionais para detecção de ransomware.
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.