Microsoft Incident Response-teamets utpressningstrojaner och metodtips

Mänskligt drivna utpressningstrojaner är inte ett skadligt programvaruproblem - det är ett mänskligt kriminellt problem. Lösningarna som används för att ta itu med råvaruproblem räcker inte för att förhindra ett hot som mer liknar en nationell hotskådespelare som:

• Inaktiverar eller avinstallerar antivirusprogrammet innan filer krypteras
• Inaktiverar säkerhetstjänster och loggning för att undvika identifiering
• Letar upp och skadar eller tar bort säkerhetskopior innan ett krav på lösensumma skickas

Dessa åtgärder utförs ofta med hjälp av legitima program , till exempel Snabbhjälp i maj 2024 – som du kanske redan har i din miljö för administrativa ändamål. I kriminella händer används dessa verktyg för att utföra attacker.

För att svara på det ökande hotet om utpressningstrojaner krävs en kombination av modern företagskonfiguration, up-to- datumsäkerhetsprodukter och utbildad säkerhetspersonal för att identifiera och svara på hoten innan data går förlorade.

Microsoft Incident Response-teamet (tidigare DART/CRSP) svarar på säkerhetskompromisser för att hjälpa kunderna att bli cybertåliga. Microsoft Incident Response tillhandahåller reaktiv incidenthantering på plats och proaktiva fjärrutredningar. Microsoft Incident Response använder Microsofts strategiska samarbeten med säkerhetsorganisationer runt om i världen och interna Microsoft-produktgrupper för att tillhandahålla en så fullständig och grundlig undersökning som möjligt.

Den här artikeln beskriver hur Microsoft Incident Response hanterar utpressningstrojanattacker för att vägleda Microsoft-kunder i bästa praxis för din egen spelbok för säkerhetsåtgärder. Information om hur Microsoft använder den senaste AI-tekniken för att motverka utpressningstrojaner, läs vår artikel om försvar mot utpressningstrojanattacker med Microsoft Security Copilot.

Så använder Microsoft Incident Response Microsofts säkerhetstjänster

Microsoft Incident Response är starkt beroende av data för alla undersökningar och använder Microsofts säkerhetstjänster, till exempel Microsoft Defender för Office 365, Microsoft Defender för Endpoint, Microsoft Defender för Identityoch Microsoft Defender för Cloud Apps.

För Microsoft Incident Response-teamets senaste uppdateringar av säkerhetsåtgärder, besök deras Ninja Hub.

Microsoft Defender för Endpoint

Defender för Endpoint är Microsofts säkerhetsplattform för företagsslutpunkter som har utformats för att hjälpa företagets nätverkssäkerhetsanalytiker att förhindra, identifiera, undersöka och svara på avancerade hot. Defender för Endpoint kan identifiera attacker med hjälp av avancerad beteendeanalys och maskininlärning. Dina analytiker kan använda Defender för Endpoint för att utvärdera hotsaktörers beteendeanalyser.

Dina analytiker kan också utföra avancerade sökningar för att identifiera indikatorer för intrång (IOCs) eller söka efter kända hotaktörers beteenden.

Defender för Endpoint ger realtidsåtkomst till expertövervakning och analys av Microsoft Defender-experter för pågående misstänkt aktörsaktivitet. Du kan också samarbeta med experter på begäran för att få mer insikter om aviseringar och incidenter.

Microsoft Defender for Identity

Defender for Identity undersöker kända komprometterade konton för att identifiera andra potentiellt komprometterade konton i din organisation. Defender for Identity skickar aviseringar för känd skadlig aktivitet, till exempel DCSync-attacker, försök att köra fjärrkod och pass-the-hash-attacker.

Microsoft Defender for Cloud Apps

Med Defender för Cloud Apps (tidigare kallat Microsoft Cloud App Security) kan din analytiker identifiera ovanligt beteende i molnprogram för att identifiera utpressningstrojaner, komprometterade användare eller oseriösa program. Defender for Cloud Apps är Microsofts lösning för molnåtkomstsäkerhetskoordinator (CASB) som möjliggör övervakning av molntjänster och data som används av användare i molntjänster.

Microsoft Secure Score

Microsoft Defender XDR-tjänster ger rekommendationer för livereparation för att minska attackytan. Microsoft Secure Score är ett mått på en organisations säkerhetsstatus, med ett högre antal som anger att fler förbättringsåtgärder har vidtagits. läs dokumentationen om säkerhetspoäng för att ta reda på mer om hur din organisation kan använda den här funktionen för att prioritera reparationsåtgärder för sin miljö.

Microsoft Incident Response-metoden för att utföra utpressningstrojanincidentundersökningar

Att fastställa hur en hotaktör fick tillgång till din miljö är avgörande för att identifiera sårbarheter, mildra attacker och förhindra framtida attacker. I vissa fall vidtar hotskådespelaren åtgärder för att dölja sina spår och förstöra bevis, så det är möjligt att hela händelsekedjan kanske inte är uppenbar.

Följande är tre viktiga steg i Microsoft Incident Response Ransomware-undersökningar:

Steg	Goal	Inledande frågor
1. Utvärdera den aktuella situationen	Förstå omfånget	Vad gjorde dig först medveten om en utpressningstrojanattack? Vilken tid/datum lärde du dig först om incidenten? Vilka loggar är tillgängliga och finns det något som tyder på att aktören för närvarande har åtkomst till system?
2. Identifiera de berörda verksamhetsspecifika apparna (LOB)	Få systemen online igen	Kräver programmet en identitet? Är säkerhetskopior av programmet, konfigurationen och data tillgängliga? Verifieras innehållet och integriteten för säkerhetskopior regelbundet med hjälp av en återställningsövning?
3. Fastställ processen för återställning av kompromisser	Ta bort hotaktör från miljön	Ej tillämpligt

Steg 1: Utvärdera den aktuella situationen

En bedömning av den aktuella situationen är avgörande för att förstå omfattningen av incidenten och för att fastställa de bästa personerna att hjälpa och planera och begränsa undersöknings- och reparationsuppgifterna. Att ställa följande inledande frågor är avgörande för att hjälpa till att fastställa källan till och omfattningen av situationen.

Hur identifierade du utpressningstrojanattacken?

Om IT-personalen identifierade det första hotet, till exempel borttagna säkerhetskopior, antivirusaviseringar, aviseringar om slutpunktsidentifiering och svar (EDR) eller misstänkta systemändringar, är det ofta möjligt att vidta snabba beslutsamma åtgärder för att förhindra attacken. Dessa åtgärder omfattar vanligtvis inaktivering av all inkommande och utgående Internetkommunikation. Även om den här åtgärden tillfälligt kan påverka affärsverksamheten, skulle detta vanligtvis vara mycket mindre påverkan än en lyckad distribution av utpressningstrojaner.

Om ett användaranrop till IT-supportavdelningen identifierade hotet kan det finnas tillräckligt med förvarning för att vidta defensiva åtgärder för att förhindra eller minimera effekterna av attacken. Om en extern enhet som brottsbekämpning eller ett finansinstitut identifierade hotet är det troligt att skadan redan är skedd. Nu kan hotaktören ha administrativ kontroll över nätverket. Dessa bevis kan sträcka sig från utpressningstrojananteckningar till låsta skärmar till krav på lösensumma.

Vilket datum/vilken tid lärde du dig först om incidenten?

Att fastställa datum och tid för den inledande aktiviteten är viktigt för att begränsa omfattningen av den inledande triageringen av hotaktörers aktivitet. Ytterligare frågor kan vara:

• Vilka uppdateringar saknades på det datumet? Det är viktigt att identifiera eventuella sårbarheter som utnyttjas.
• Vilka konton användes på det datumet?
• Vilka nya konton har skapats sedan det datumet?

Vilka loggar är tillgängliga och finns det något som tyder på att aktören för närvarande har åtkomst till system?

Loggar – till exempel antivirusprogram, EDR och virtuellt privat nätverk (VPN) – kan visa tecken på misstänkt kompromiss. Uppföljningsfrågor kan vara:

• Aggregeras loggar i en SIEM-lösning (Security Information and Event Management), till exempel Microsoft Sentinel, Splunk, ArcSight och andra och aktuella? Vad är kvarhållningsperioden för dessa data?
• Finns det några misstänkta komprometterade system som upplever ovanlig aktivitet?
• Finns det några misstänkta komprometterade konton som verkar vara under kontroll av en hotaktör?
• Finns det några tecken på aktiva kommandon och kontroller (C2s) i EDR, brandvägg, VPN, webbproxy och andra loggar?

För att bedöma situationen kan du behöva en Domänkontrollant för Active Directory Domain Services (AD DS) som inte komprometterades, en nyligen genomförd säkerhetskopia av en domänkontrollant eller en domänkontrollant som nyligen tagits offline för underhåll eller uppgraderingar. Avgör också om multifaktorautentisering (MFA) krävdes för alla i företaget och om Microsoft Entra-ID användes.

Steg 2: Identifiera de LOB-appar som inte är tillgängliga på grund av incidenten

Det här steget är viktigt för att ta reda på det snabbaste sättet att få system online igen samtidigt som nödvändiga bevis erhålls.

Kräver programmet en identitet?

• Hur utförs autentisering?
• Hur lagras och hanteras autentiseringsuppgifter som certifikat eller hemligheter?

Är testade säkerhetskopior av programmet, konfigurationen och data tillgängliga?

• Verifieras innehållet och integriteten i säkerhetskopior regelbundet med hjälp av en återställningsövning? Den här kontrollen är viktig efter konfigurationshanteringsändringar eller versionsuppgraderingar.

Steg 3: Fastställa återställningsprocessen för kompromissen

Det här steget kan vara nödvändigt om kontrollplanet, som vanligtvis är AD DS, har komprometterats.

Din undersökning bör alltid ge utdata som matar in direkt i CR-processen. CR är den process som tar bort hotaktörers kontroll över en miljö och taktiskt förbättrar säkerhetsläget inom en viss period. CR sker efter säkerhetsöverträdelse. Mer information om CR finns i microsoft Compromise Recovery Security Practice-teamets CRSP: The emergency team fighting cyber attacks beside customers blog article.

När du har samlat in svar på frågorna i steg 1 och 2 kan du skapa en lista över uppgifter och tilldela ägare. Ett lyckat incidenthanteringsarbete kräver noggrann och detaljerad dokumentation för varje arbetsobjekt (till exempel ägare, status, resultat, datum och tid) för att kompilera resultat.

Rekommendationer och metodtips för Microsofts incidenthantering

Här är Microsoft Incident Responses rekommendationer och metodtips för inneslutning och aktiviteter efter incident.

Inneslutning

Inneslutning kan bara ske när du har fastställt vad som behöver ingå. När det gäller utpressningstrojaner försöker angriparen få tag på inloggningsuppgifter för administrativ kontroll över en server med hög tillgänglighet, för att sedan kunna installera utpressningstrojanen. I vissa fall identifierar hotskådespelaren känsliga data och exfiltrerar dem till en plats som de kontrollerar.

Taktisk återhämtning är unikt för din organisations miljö, bransch och nivå av IT-expertis och erfarenhet. De steg som beskrivs nedan rekommenderas för kortsiktig och taktisk inneslutning. Mer information om långsiktig vägledning finns i skydda privilegierad åtkomst. För en omfattande vy över hur du försvarar mot utpressningstrojaner och utpressning, se Utpressningstrojaner som drivs av människor.

Följande inneslutningssteg kan utföras när nya hotvektorer identifieras.

Steg 1: Utvärdera situationens omfattning

• Vilka användarkonton har komprometterats?
• Vilka enheter påverkas?
• Vilka program påverkas?

Steg 2: Bevara befintliga system

• Inaktivera alla privilegierade användarkonton förutom ett litet antal konton som används av dina administratörer för att återställa integriteten för DIN AD DS-infrastruktur. Om du tror att ett användarkonto har komprometterats inaktiverar du det omedelbart.
• Isolera komprometterade system från nätverket, men inaktivera dem inte.
• Isolera minst en (och helst två) kända bra domänkontrollanter i varje domän. Koppla antingen från dem från nätverket eller inaktivera dem för att förhindra spridning av utpressningstrojaner till kritiska system och prioritera identitet som den mest sårbara attackvektorn. Om alla domänkontrollanter är virtuella kontrollerar du att virtualiseringsplattformens system och dataenheter säkerhetskopieras till externa offlinemedier som inte är anslutna till nätverket.
• Isolera viktiga kända bra programservrar, till exempel SAP, konfigurationshanteringsdatabas (CMDB), fakturerings- och redovisningssystem.

Dessa två steg kan vidtas samtidigt som nya hotvektorer identifieras. Om du vill isolera hotet från nätverket inaktiverar du dessa hotvektorer och letar sedan efter ett känt icke-kompatibelt system.

Andra taktiska inneslutningsåtgärder är:

• Återställ krbtgt-lösenordet två gånger i snabb följd. Överväg att använda en skriptad, repeterbar process. Med det här skriptet kan du återställa lösenordet för krbtgt-kontot och relaterade nycklar samtidigt som sannolikheten för Kerberos-autentiseringsproblem minimeras. För att minimera problem kan krbtgt-livslängden minskas en eller flera gånger innan den första lösenordsåterställningen för att snabbt slutföra de här stegen. Alla domänkontrollanter som du planerar att behålla i din miljö måste vara online.

• Distribuera en grupprincip till hela domänerna som förhindrar privilegierad inloggning (domänadministratörer) till allt annat än domänkontrollanter och privilegierade arbetsstationer (om det finns några).

• Installera alla säkerhetsuppdateringar som saknas för operativsystem och program. Varje uppdatering som saknas är en potentiell hotvektor som utpressningstrojaner snabbt kan identifiera och använda. Microsoft Defender för Endpoints Threat and Vulnerability Management ger ett enkelt sätt att se exakt vad som saknas samt effekten av saknade uppdateringar.

  • För Windows 10-enheter (eller senare) kontrollerar du att den aktuella versionen (eller n-1) körs på varje enhet.

  • Distribuera regler för minskning av attackytan (ASR) för att förhindra skadlig kod.

  • Aktivera alla säkerhetsfunktioner i Windows 10.

• Kontrollera att alla externa program, inklusive VPN-åtkomst, skyddas av multifaktorautentisering (MFA), helst med hjälp av ett autentiseringsprogram som körs på en skyddad enhet.

• För enheter som inte använder Defender för Endpoint som sitt primära antivirusprogram utför du en fullständig genomsökning med Microsoft Safety Scanner på isolerade kända säkra system innan du återansluter dem till nätverket.

• För äldre operativsystem uppgraderar du till ett operativsystem som stöds eller inaktiverar dessa enheter. Om de här alternativen inte är tillgängliga kan du vidta alla möjliga åtgärder för att isolera dessa enheter, inklusive nätverks-/VLAN-isolering, IPsec-regler (Internet Protocol Security) och inloggningsbegränsningar. De här stegen hjälper till att säkerställa att dessa system endast är tillgängliga för användare/enheter för att tillhandahålla affärskontinuitet.

De mest riskfyllda konfigurationerna består av att köra verksamhetskritiska system på äldre operativsystem så gamla som Windows NT 4.0 och program, allt på äldre maskinvara. Dessa operativsystem och program är inte bara osäkra och sårbara, utan om maskinvaran misslyckas kan säkerhetskopieringar vanligtvis inte återställas på modern maskinvara. Dessa program kan inte fungera utan äldre maskinvara. Överväg starkt att konvertera dessa program till att köras på aktuella operativsystem och maskinvara.

Aktiviteter efter incident

Microsoft Incident Response rekommenderar att du implementerar följande säkerhetsrekommendationer och metodtips efter varje incident.

• Se till att bästa praxis finns för e-post- och samarbetslösningar för att förhindra att hotaktörer använder dem samtidigt som interna användare enkelt och säkert kan komma åt externt innehåll.

• Följ Nolltillit metodtips för säkerhet för fjärråtkomstlösningar till interna organisationsresurser.

• Börja med administratörer med kritisk påverkan och följ metodtipsen för kontosäkerhet, inklusive användning av lösenordsfri autentisering eller MFA.

• Implementera en omfattande strategi för att minska risken för privilegierad åtkomstkompromiss.

  • Använd Microsofts privilegierade åtkomstmodell (PAM) för moln- och skogs-/domänadministratörsåtkomst.

  • För hantering av slutpunktsadministration använder du den lokala lösningen för administrativa lösenord (LAPS).

• Implementera dataskydd för att blockera tekniker för utpressningstrojaner och bekräfta snabb och tillförlitlig återställning från en attack.

• Granska dina kritiska system. Kontrollera skyddet och säkerhetskopiorna mot borttagning eller kryptering som utförs av hotaktörer. Granska och regelbundet testa och verifiera dessa säkerhetskopior.

• Säkerställ snabb identifiering och reparation av vanliga attacker mot slutpunkt, e-post och identitet.

• Identifiera och kontinuerligt förbättra din miljös säkerhetsstatus.

• Uppdatera organisationens processer för att hantera större utpressningstrojanhändelser och effektivisera outsourcing för att undvika friktion.

PAM

Genom att använda PAM (tidigare kallad nivåindelad administrationsmodell) förbättras Microsoft Entra-ID:ts säkerhetsstatus, vilket omfattar:

• Dela upp administrativa konton i en "planad" miljö, vilket innebär ett konto för varje nivå (vanligtvis fyra nivåer):

• Kontrollplan (tidigare nivå 0): Administration av domänkontrollanter och andra viktiga identitetstjänster, till exempel Active Directory Federation Services (ADFS) eller Microsoft Entra Connect. Dessa omfattar även serverprogram som kräver administrativ behörighet till AD DS, till exempel Exchange Server.

• De följande två planen var tidigare nivå 1:

  • Hanteringsplan: Tillgångshantering, övervakning och säkerhet.

  • Data/arbetsbelastningsplan: Program och programservrar.

• De följande två planen var tidigare nivå 2:

  • Användaråtkomst: Åtkomsträttigheter för användare (till exempel konton).

  • Appåtkomst: Åtkomsträttigheter för program.

• Vart och ett av dessa plan har en separat administrativ arbetsstation för varje plan och har endast åtkomst till system i det planet. Konton från andra plan nekas åtkomst till arbetsstationer och servrar i olika plan via användarbehörighetstilldelningar som är inställda på dessa enheter.

PAM garanterar:

• Ett komprometterat användarkonto har bara åtkomst till sitt eget plan.

• Mer känsliga användarkonton kan inte komma åt arbetsstationer och servrar med en lägre nivå av säkerhet. Detta hjälper till att förhindra angripares sidledsrörelse inom nätverket.

VARV

Som standard har Microsoft Windows och AD DS ingen centraliserad hantering av lokala administrativa konton på arbetsstationer och medlemsservrar. Den här bristen på hantering kan resultera i ett vanligt lösenord för alla dessa lokala konton, eller åtminstone för grupper av enheter. Med den här situationen kan hotaktörer kompromettera ett lokalt administratörskonto för att sedan komma åt andra arbetsstationer eller servrar i organisationen.

Microsofts LAPS- minimerar det här hotet med hjälp av en klientdelsförlängning för gruppolicy som ändrar det lokala administrativa lösenordet med jämna mellanrum på arbetsstationer och servrar enligt den angivna principen. Vart och ett av dessa lösenord är olika och lagras som ett attribut i AD DS-datorobjektet. Det här attributet kan hämtas från ett enkelt klientprogram, beroende på vilka behörigheter som tilldelats attributet.

LAPS kräver att AD DS-schemat utökas för att möjliggöra det ytterligare attributet, att LAPS-gruppolicy-mallarna installeras och att ett litet tillägg på klientsidan installeras på varje arbetsstation och medlemsserver för att tillhandahålla funktioner på klientsidan.

Du kan ladda ned LAPS från Microsoft Download Center.

Ytterligare resurser för utpressningstrojaner

Följande Microsoft-resurser hjälper till att identifiera utpressningstrojanattacker och skydda organisationens tillgångar:

• Utpressningstrojaner som drivs av människor

• Skydda snabbt mot utpressningstrojaner och utpressning

• 2023 Microsofts rapport om digitalt försvar (se sidorna 17-26)

• Utpressningstrojan: En omfattande och pågående hotanalysrapport i Microsoft Defender-portalen

• Fallstudie av Utpressningstrojaner för Microsoft Incident Response

Microsoft 365:

• Distribuera skydd mot utpressningstrojaner för din Microsoft 365-klientorganisation
• Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
• Återställa från en utpressningstrojanattack
• Skydd mot skadlig kod och utpressningstrojaner
• Skydda din Windows 10-dator från utpressningstrojaner
• Hantera utpressningstrojaner i SharePoint Online
• Hotanalysrapporter för utpressningstrojaner i Microsoft Defender-portalen
• Utnyttja AI för att skydda mot utpressningstrojaner med Microsoft Security Copilot

Microsoft Defender XDR:

• Hitta utpressningstrojaner med avancerad jakt

Microsoft Azure:

• Azure Defenses för utpressningstrojanattack
• Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
• Säkerhetskopierings- och återställningsplan för att skydda mot utpressningstrojaner
• Skydda mot utpressningstrojaner med Microsoft Azure Backup (26-minuters video)
• Återställning från systemisk identitetskompromiss
• Avancerad attackidentifiering i flera steg i Microsoft Sentinel
• Fusionsidentifiering för utpressningstrojaner i Microsoft Sentinel

Microsoft Defender för molnet-appar:

• Skapa principer för avvikelseidentifiering i Defender för molnet-appar