Подход и рекомендации по программе-шантажистов группы реагирования на инциденты Майкрософт

Программ-шантажистов , управляемых человеком, не является злонамеренной проблемой программного обеспечения - это человеческая криминальная проблема. Решения, используемые для решения проблем с сырьевыми товарами, недостаточно, чтобы предотвратить угрозу, которая более тесно похожа на субъекта угроз государства страны, который:

• Отключает или удаляет антивирусное программное обеспечение перед шифрованием файлов
• Отключает службы безопасности и ведение журнала, чтобы избежать обнаружения
• Поиск и повреждение или удаление резервных копий перед отправкой запроса на выкуп

Эти действия часто выполняются с помощью законных программ, таких как Быстрая помощь в мае 2024 года, которую вы уже могли иметь в своей среде для административных целей. В преступных руках эти средства используются для проведения нападений.

Реагирование на растущую угрозу программ-шантажистов требует сочетания современной корпоративной конфигурации, up-toпродуктов безопасности даты и обученных сотрудников безопасности для обнаружения и реагирования на угрозы до потери данных.

Группа реагирования на инциденты Майкрософт (ранее DART/CRSP) отвечает на компрометации безопасности, чтобы помочь клиентам стать киберустойчивыми. Ответ на инциденты Майкрософт предоставляет ответ на реактивное реагирование на инциденты и удаленные упреждающие расследования. Реагирование на инциденты Майкрософт использует стратегические партнерские отношения Майкрософт с организациями безопасности по всему миру и внутренними группами продуктов Майкрософт для обеспечения наиболее полного и тщательного расследования. Наши эксперты по реагированию на инциденты придают приоритет проактивности, используя ежедневные сигналы и анализ угроз для выявления угроз в каждой среде клиента. Корпорация Майкрософт призывает клиентов также создать собственную группу реагирования на инциденты для максимального мониторинга внутреннего периметра.

В этой статье описывается, как Microsoft Incident Response обрабатывает атаки программ-шантажистов, чтобы помочь клиентам Майкрософт в рекомендациях по работе с собственным сборником схем операций безопасности. Дополнительные сведения о том, как корпорация Майкрософт использует новейший ИИ для смягчения рисков программ-шантажистов, ознакомьтесь со статьей о Microsoft Security Copilot и защите от атак программ-шантажистов.

Как Microsoft Incident Response использует службы безопасности Майкрософт

Реагирование на инциденты Microsoft в значительной степени полагается на данные во всех расследованиях и использует службы безопасности Microsoft, такие как Microsoft Defender для Office 365, Microsoft Defender для Endpoint, Microsoft Defender для Identityи Microsoft Defender для Cloud Apps.

Для получения последних обновлений мер безопасности от группы реагирования на инциденты «Майкрософт» ознакомьтесь с «Ninja Hub».

Microsoft Defender для конечной точки;

Defender для конечной точки — это корпоративная платформа безопасности конечных точек Майкрософт, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы. Defender для конечной точки может обнаруживать атаки с помощью расширенной аналитики поведения и машинного обучения. Аналитики могут использовать Defender для конечной точки для оценки аналитики поведения субъектов угроз.

Аналитики также могут выполнять расширенные поисковые запросы для выявления индикаторов компрометации (IOC) или поиска известного поведения субъекта угроз.

Defender для конечной точки предоставляет доступ к мониторингу экспертов и анализу в режиме реального времени экспертами Microsoft Defender для текущей предполагаемой активности субъектов. Вы также можете сотрудничать с экспертами по запросу для получения дополнительных сведений об оповещениях и инцидентах.

Microsoft Defender для удостоверений

Defender для защиты идентификационных данных анализирует уже известные скомпрометированные учетные записи, чтобы выявить другие потенциально скомпрометированные учетные записи в вашей организации. Defender для защиты идентификации отправляет оповещения о известной вредоносной активности, такой как атаки DCSync, попытки удаленного выполнения кода и атаки с перехватом хэша.

Microsoft Defender для облачных приложений

Defender для облачных приложений (ранее известный как Microsoft Cloud App Security) позволяет аналитику обнаруживать необычное поведение в облачных приложениях для выявления программ-шантажистов, скомпрометированных пользователей или изгоев приложений. Defender для облачных приложений — это решение брокера безопасности доступа (CASB) Майкрософт, которое позволяет отслеживать облачные службы и данные, к которым обращаются пользователи в облачных службах.

Оценка безопасности Майкрософт

Службы XDR в Microsoft Defender предоставляют рекомендации по исправлению в реальном времени, чтобы уменьшить область атаки. Оценка безопасности Майкрософт — это измерение состояния безопасности организации с более высоким числом, указывающим на то, что были приняты дополнительные меры по улучшению. документации по оценке безопасности, чтобы узнать больше о том, как ваша организация может использовать эту функцию для определения приоритетов действий по исправлению для своей среды.

Подход к реагированию на инциденты Майкрософт для проведения расследований инцидентов программ-шантажистов

Определение того, как субъект угроз получил доступ к вашей среде, имеет решающее значение для выявления уязвимостей, проведения устранения атак и предотвращения будущих атак. В некоторых случаях субъект угроз принимает меры для покрытия своих следов и уничтожения доказательств, поэтому возможно, что вся цепочка событий может быть не очевидна.

Ниже приведены три ключевых этапа в расследованиях программ-шантажистов реагирования на инциденты Майкрософт:

Этап	Goal	Начальные вопросы
1. Оценка текущей ситуации	Общие сведения о области	Что первоначально заставило вас знать о атаке программы-шантажистов? Какое время и дата вы впервые узнали об инциденте? Какие журналы доступны и есть ли какие-либо признаки того, что субъект в настоящее время обращается к системам?
2. Определение затронутых бизнес-приложений (LOB)	Получение систем обратно в сети	Требуется ли приложению удостоверение? Доступны ли резервные копии приложения, конфигурации и данных? Регулярно ли проверяется содержимое и целостность резервных копий с помощью упражнения восстановления?
3. Определение процесса восстановления компрометации (CR)	Удаление субъекта угроз из среды	Н/П

Шаг 1. Оценка текущей ситуации

Оценка текущей ситуации имеет решающее значение для понимания области инцидента, а также для определения лучших людей, которые помогают и планируют и масштабировать задачи расследования и исправления. Задавание следующих первоначальных вопросов имеет решающее значение для определения источника и степени проблемы.

Как вы обнаружили атаку вымогательского программного обеспечения?

Если ИТ-специалисты определили начальную угрозу, например удаленные резервные копии, антивирусные оповещения, оповещения обнаружения конечных точек и реагирования (EDR) или подозрительные изменения системы, часто можно принять быстрые решительные меры для устранения атаки. Обычно эти меры включают отключение всех входящих и исходящих подключений к Интернету. Хотя эта мера может временно повлиять на бизнес-операции, подобное влияние будет значительно меньшим по сравнению с воздействием успешного развертывания программ-шантажистов.

Если пользователь вызывает ИТ-службу технической поддержки идентифицирует угрозу, может быть достаточно предварительного предупреждения, чтобы принять оборонительные меры, чтобы предотвратить или свести к минимуму последствия атаки. Если сторонняя организация, например, правоохранительные органы или финансовое учреждение, выявила угрозу, скорее всего, ущерб уже нанесён. На этом этапе субъект угроз может иметь административный контроль над вашей сетью. Это свидетельство может варьироваться от записок программы-вымогателя до заблокированных экранов и требований выкупа.

Какая дата и время вы впервые узнали об инциденте?

Определение даты и времени начального действия важно, чтобы сузить область начальной операции для действия субъекта угроз. К дополнительным вопросам могут относиться следующие:

• Какие обновления отсутствуют на этой дате? Важно определить все уязвимости, которые эксплуатируются.
• Какие учетные записи использовались на этой дате?
• Какие новые учетные записи были созданы с этой даты?

Какие журналы доступны, и есть ли какие-либо признаки того, что субъект в настоящее время обращается к системам?

Журналы, такие как антивирус, EDR и виртуальная частная сеть (VPN), могут показать доказательства предполагаемой компрометации. К следующим вопросам могут относиться следующие вопросы:

• Агрегируются ли журналы в решении siEM, например Microsoft Sentinel, Splunk, ArcSight и других? Какой период хранения этих данных?
• Есть ли какие-либо подозрительные скомпрометированные системы, испытывающие необычную активность?
• Есть ли какие-либо подозрительные скомпрометированные учетные записи, которые, как представляется, находятся под активным контролем субъекта угроз?
• Есть ли какие-либо доказательства активной команды и элементов управления (C2s) в EDR, брандмауэре, VPN, веб-прокси и других журналах?

Чтобы оценить ситуацию, может потребоваться контроллер домена доменных служб Active Directory (AD DS), который не был скомпрометирован, недавнее резервное копирование контроллера домена или недавний контроллер домена, принятый в автономном режиме для обслуживания или обновления. Также определите, требуется ли многофакторная проверка подлинности (MFA) для всех пользователей компании и используется ли идентификатор Microsoft Entra.

Шаг 2. Определение бизнес-приложений, недоступных из-за инцидента

Этот шаг является критически важным для определения самого быстрого способа вернуть системы в онлайн, одновременно получая необходимые доказательства.

Требуется ли приложению удостоверение?

• Как выполняется аутентификация?
• Как хранятся и управляются учетные данные, такие как сертификаты или секреты?

Доступны ли тестированные резервные копии приложения, конфигурации и данных?

• Регулярно ли проверяется содержимое и целостность резервных копий с помощью упражнения восстановления? Эта проверка важна после изменений в управлении конфигурацией или обновлений версий.

Шаг 3. Определение процесса восстановления компрометации

Этот шаг может потребоваться, если контрольная плоскость, по умолчанию AD DS, скомпрометирована.

Следствие всегда должно предоставлять выходные данные, которые передаются непосредственно в процесс CR. CR — это процесс, который удаляет управление субъектом угроз из среды и тактически повышает уровень безопасности в течение заданного периода. CR происходит после нарушения безопасности. Дополнительные сведения о CR см. в статье блога клиентов о команде microsoft Compromise Recovery Security Security Practice в CRSP: команда по чрезвычайным ситуациям борется с кибератаками рядом с клиентами .

После сбора ответов на вопросы, описанные в шагах 1 и 2, можно создать список задач и назначить владельцев. Для успешного участия в реагировании на инциденты требуется тщательная подробная документация по каждому рабочему элементу (например, владельцу, состоянию, результатам, дате и времени) для компиляции результатов.

Рекомендации и рекомендации по реагированию на инциденты Майкрософт

Ниже приведены рекомендации по реагированию на инциденты Майкрософт и рекомендации по сдерживанию и после инцидента.

Автономность

Сдерживание может произойти только после определения того, что необходимо содержать. В случае программы-шантажиста злоумышленник стремится получить учетные данные для административного контроля над высокодоступным сервером, а затем развернуть эту программу. В некоторых случаях субъект угроз определяет конфиденциальные данные и эксфильтрует его в расположение, которое они контролируют.

Тактическое восстановление уникально для вашей организации с учетом её среды, отрасли, уровня IT-экспертизы и опыта. Описанные ниже шаги рекомендуются для краткосрочного и тактического сдерживания. Чтобы узнать больше о долгосрочных рекомендациях, см. статью о защите привилегированного доступа. Для полного понимания того, как защититься от программ-вымогателей и шантажа, см. раздело программ-вымогателях, управляемых человеком.

Следующие действия по сдерживанию можно выполнить при обнаружении новых векторов угроз.

Шаг 1. Оценка области ситуации

• Какие учетные записи пользователей скомпрометировались?
• Какие устройства затронуты?
• Какие приложения затронуты?

Шаг 2. Сохранение существующих систем

• Отключите все привилегированные учетные записи пользователей, за исключением нескольких учетных записей, используемых вашими администраторами для восстановления целостности инфраструктуры AD DS. Если вы считаете, что учетная запись пользователя скомпрометирована, отключите ее немедленно.
• Изолируйте скомпрометированные системы от сети, но не выключайте их.
• Изолируйте по крайней мере один (и в идеале два) известный хороший контроллер домена в каждом домене. Отключите их от сети или выключите, чтобы предотвратить распространение программ-шантажистов в критически важные системы, уделяя особое внимание идентификации как наиболее уязвимому вектору атаки. Если все контроллеры домена виртуальные, убедитесь, что система и диски данных платформы виртуализации имеют резервные копии на автономном внешнем носителе, который не подключен к сети.
• Изолируйте критически важные известные хорошие серверы приложений, такие как SAP, база данных управления конфигурацией (CMDB), выставление счетов и системы учета.

Эти два шага можно выполнить параллельно, так как обнаруживаются новые векторы угроз. Чтобы изолировать угрозу от сети, отключите эти векторы угроз и найдите известную некомпрометизированную систему.

К другим тактическим действиям сдерживания относятся:

• Сбросьте пароль krbtgt дважды за короткий промежуток времени. Рассмотрите возможность использования сценария, повторяемого процесса. Этот скрипт позволяет сбросить пароль учетной записи krbtgt и связанные ключи, минимизировать вероятность возникновения проблем с аутентификацией Kerberos. Чтобы свести к минимуму проблемы, время существования krbtgt можно сократить один или несколько раз до первого сброса пароля, чтобы быстро выполнить эти действия. Все контроллеры домена, которые вы планируете хранить в вашей среде, должны быть в сети.

• Разверните групповую политику во всех доменах, которая запрещает привилегированным пользователям (администраторы домена) вход, кроме как на контроллеры домена и привилегированные рабочие станции, предназначенные только для администрирования (если таковые имеются).

• Установите все отсутствующие обновления безопасности для операционных систем и приложений. Каждое отсутствующее обновление является потенциальным вектором угроз, который субъекты-шантажисты могут быстро идентифицировать и использовать. Microsoft Defender для конечной точки предоставляет простой способ управления угрозами и уязвимостями и, позволяя точно увидеть, что отсутствует, а также влияние отсутствующих обновлений.

  • Для устройств Windows 10 (или более поздних версий) убедитесь, что текущая версия (или n-1) работает на каждом устройстве.

  • Разверните правила уменьшения поверхности атак (ASR), чтобы предотвратить инфекцию вредоносных программ.

  • Включите все функции безопасности Windows 10.

• Убедитесь, что каждое внешнее приложение, включая VPN-доступ, защищено многофакторной проверкой подлинности (MFA), предпочтительно с помощью приложения проверки подлинности, работающего на защищенном устройстве.

• Для устройств, не использующих Defender для конечной точки в качестве основного антивирусного программного обеспечения, выполните полную проверку с помощью Сканер безопасности Майкрософт на изолированных известных безопасных системах, прежде чем повторно подключить их к сети.

• Для любых устаревших операционных систем обновите их до поддерживаемой операционной системы (ОС) или выключите эти устройства. Если эти параметры недоступны, примите все возможные меры для изоляции этих устройств, включая изоляцию сети и VLAN, правила безопасности протокола Интернета (IPsec) и ограничения на вход. Эти действия помогают обеспечить доступность этих систем только пользователями и устройствами для обеспечения непрерывности бизнес-процессов.

Самые рискованные конфигурации состоят из запуска критически важных систем в устаревших операционных системах, как и windows NT 4.0 и приложений, все на устаревшем оборудовании. Не только эти операционные системы и приложения небезопасны и уязвимы, но и если это оборудование выходит из строя, резервные копии обычно не могут быть восстановлены на современном оборудовании. Эти приложения не могут функционировать без устаревшего оборудования. Рекомендуется настоятельно рассмотреть возможность преобразования этих приложений для работы на современных операционных системах и оборудовании.

Действия после инцидента

Ответ на инциденты Майкрософт рекомендует реализовать следующие рекомендации по безопасности и рекомендации после каждого инцидента.

• Убедитесь, что лучшие практики внедряются для решений электронной почты и совместной работы, чтобы помочь предотвратить использование их субъектами угроз, при этом позволяя внутренним пользователям легко и безопасно получать доступ к внешнему содержимому.

• Следуйте рекомендациям по обеспечению безопасности нулевого доверия для решений удаленного доступа к внутренним ресурсам организации.

• Начиная с критически важных администраторов влияния, следуйте рекомендациям по безопасности учетной записи, включая использование проверки подлинности без пароля или MFA.

• Реализуйте комплексную стратегию для снижения риска компрометации привилегированного доступа.

  • Для доступа к облаку и лесу или домену используйте модель привилегированного доступа Майкрософт (PAM).

  • Для администрирования конечной точки используйте локальное решение с административным паролем (LAPS).

• Реализуйте защиту данных для блокировки методов программ-шантажистов и подтверждения быстрого и надежного восстановления от атаки.

• Просмотрите критически важные системы. Проверьте защиту и резервные копии, чтобы предотвратить удаление или шифрование данными субъектами угроз. Просмотрите и периодически тестируйте и проверяйте эти резервные копии.

• Обеспечьте быстрое обнаружение и исправление распространенных атак на конечную точку, электронную почту и удостоверение.

• Активное обнаружение и непрерывное повышение уровня безопасности среды.

• Обновите организационные процессы, чтобы управлять крупными событиями программ-шантажистов и оптимизировать аутсорсинг, чтобы избежать трений.

PAM

Использование PAM (ранее известной как модель многоуровневого администрирования) повышает уровень безопасности идентификатора Microsoft Entra ID, который включает в себя:

• Выделение административных учетных записей в структурированной среде, то есть одна учетная запись для каждого уровня (обычно четыре уровня):

• Плоскость управления (прежнее название — уровень 0): администрирование контроллеров домена и других важных служб удостоверений, таких как службы федерации Active Directory (ADFS) или Microsoft Entra Connect. К ним также относятся серверные приложения, требующие административных разрешений для AD DS, таких как Exchange Server.

• Следующие два самолета были ранее уровня 1:

  • Плоскость управления: управление активами, мониторинг и безопасность.

  • Плоскость данных и рабочей нагрузки: приложения и серверы приложений.

• Следующие два самолета были ранее уровня 2:

  • Доступ пользователей: права доступа для пользователей (например, учетных записей).

  • Доступ к приложениям: права доступа для приложений.

• Каждый из этих самолетов имеет отдельную административную рабочую станцию для каждого самолета и имеет доступ только к системам в этом самолете. Учетным записям из других сегментов сети запрещен доступ к рабочим станциям и серверам в различных сегментах сети с помощью назначений прав пользователей, установленных для этих устройств.

PaM гарантирует:

• Скомпрометированная учетная запись пользователя имеет доступ только к своему собственному домену.

• Более конфиденциальные учетные записи пользователей не могут получить доступ к рабочим станциям и серверам с уровнем безопасности нижнего уровня. Это помогает предотвратить боковое движение субъекта угроз.

LAPS

По умолчанию Microsoft Windows и AD DS не имеют централизованного управления локальными административными учетными записями на рабочих станциях и серверах-членах. Это отсутствие управления может привести к общему паролю для всех этих локальных учетных записей или по крайней мере для групп устройств. Эта ситуация позволяет субъектам угроз компрометировать одну учетную запись локального администратора, чтобы затем получить доступ к другим рабочим станциям или серверам в организации.

LAPS корпорации Майкрософт устраняет эту угрозу с помощью клиентского расширения групповой политики, которое изменяет локальный административный пароль с регулярными интервалами на рабочих станциях и серверах в соответствии с установленной политикой. Каждый из этих паролей отличается и хранится в качестве атрибута в объекте компьютера AD DS. Этот атрибут можно получить из простого клиентского приложения в зависимости от разрешений, назначенных этому атрибуту.

LAPS требует, чтобы схема AD DS была расширена, чтобы разрешить установку дополнительных атрибутов, шаблоны групповой политики LAPS и установку небольшого клиентского расширения на каждой рабочей станции и сервере-члене, чтобы обеспечить функциональность на стороне клиента.

Вы можете скачать LAPS из Центра загрузки Майкрософт.

Дополнительные ресурсы о программах-шантажистах

Следующие ресурсы Майкрософт помогают обнаруживать атаки программ-шантажистов и защищать ресурсы организации:

• Программ-шантажистов, управляемых человеком

• Быстрая защита от программ-шантажистов и вымогательства

• 2023 Отчет о цифровой защите Microsoft (см. страницы 17-26)

• Программ-шантажистов: распространенный и текущий отчет аналитики угроз на портале Microsoft Defender

• Пример использования программ-шантажистов Реагирования на инциденты Майкрософт

Microsoft 365:

• Развертывание средств защиты от программ-шантажистов для арендатора Microsoft 365
• Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
• Восстановление после атаки с использованием программ-шантажистов
• Защита от вредоносных программ и программ-шантажистов
• Защита компьютера Windows 10 от программ-шантажистов
• Противодействие программам-шантажистам в SharePoint Online
• Отчеты аналитики угроз для программ-шантажистов на портале Microsoft Defender
• Используйте ИИ для защиты от вымогательских программ с помощью Microsoft Security Copilot

XDR в Microsoft Defender:

• Поиск программ-шантажистов с помощью расширенной охоты

Microsoft Azure:

• Защита Azure от атак программ-шантажистов
• Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
• План резервного копирования и восстановления для защиты от программ-шантажистов
• Защита от программ-шантажистов с помощью Microsoft Azure Backup (26-минутное видео)
• Восстановление от системного компрометации удостоверений
• Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
• Обнаружение Fusion для программ-шантажистов в Microsoft Sentinel

приложения Microsoft Defender для облака:

• Создание политик обнаружения аномалий в приложениях Defender для облака