偵測並回應勒索軟體攻擊
有數個潛在的觸發程序可能會指出勒索軟體事件。 不同於許多其他類型的惡意程式碼,這類事件大部分都是信賴度較高的觸發程序 (其中在宣告事件之前,幾乎不需要額外的調查和分析) 而不是信賴度較低的觸發程序 (其中在宣告事件之前,可能需要較多的調查或分析)。
通常,從基本系統行為、缺少重要系統或使用者檔案,以及贖金需求來看,發生這類感染是顯而易見的。 在此情況下,分析師應該考慮是否要立即宣告並呈報事件,包括採取任何自動化動作來減輕攻擊。
偵測勒索軟體攻擊
適用於雲端的 Microsoft Defender 提供高品質的威脅偵測和回應功能,也稱為延伸偵測及回應 (XDR)。
確保快速偵測 VM、SQL Server、Web 應用程式和身分識別發生的常見攻擊並進行補救。
設定常見進入點的優先順序 – 勒索軟體 (和其他) 操作員偏好端點/電子郵件/身分識別 + 遠端桌面通訊協定 (RDP)
- 整合式 XDR - 使用整合式擴充偵測和回應 (XDR) 工具 (例如適用於雲端的 Microsoft Defender),提供高品質警示,並將回應期間的摩擦和手動步驟降到最低
- 暴力密碼破解 - 監視暴力密碼破解嘗試,例如密碼噴灑
監視敵人停用安全性 – 這通常是人為操作勒索軟體 (HumOR) 攻擊鏈的一部分
事件記錄檔清除 – 特別是安全性事件記錄檔和 PowerShell 作業記錄
- 停用安全性工具/控制項 (與某些群組相關聯)
不要忽略商用惡意程式碼 - 勒索軟體攻擊者會定期向黑市購買目標組織的存取權
整合外部專家 – 到流程中以補充專業知識,例如 Microsoft 事件回應小組 (先前稱為 DART/CRSP)。
在內部部署環境中使用適用於端點的 Defender,快速隔離遭入侵的裝置。
回應勒索軟體攻擊
事件宣告
一旦確認成功感染勒索軟體,分析師應確認這是否代表新的事件,或是否可能與現有事件相關。 尋找目前已開啟且指出類似事件的票證。 如果有,請使用票證系統中的新資訊更新目前的事件票證。 如果這是新的事件,則應在相關的票證系統中宣告事件,並呈報給適當的小組或提供者,以包含並減輕事件風險。 請注意,管理勒索軟體事件可能需要由多個 IT 和安全性小組採取動作。 可能的話,請確定票證已明確識別為勒索軟體事件,以引導工作流程。
內含項目/風險降低
一般而言,應將各種伺服器/端點反惡意程式碼軟體、電子郵件反惡意程式碼軟體和網路保護解決方案設定為自動包含及減輕已知的勒索軟體。 然而,在某些情況下,特定的勒索軟體變體可能能夠略過此類保護並成功感染目標系統。
Microsoft 在最好的 Azure 安全性最佳做法中提供豐富的資源,以協助更新事件回應流程。
以下是建議的動作,可包含或減輕涉及勒索軟體的宣告事件,其中反惡意程式碼系統所採取的自動化動作尚未成功:
- 透過標準支援流程與反惡意程式碼軟體廠商互動
- 將與惡意程式碼相關聯的雜湊和其他資訊手動新增至反惡意程式碼軟體系統
- 套用反惡意程式碼軟體廠商更新
- 包含受影響的系統,直到可以進行補救為止
- 停用遭盜用的帳戶
- 執行根本原因分析
- 在受影響的系統上套用相關的修補檔和設定變更
- 使用內部和外部控制項封鎖勒索軟體通訊
- 清除快取的內容
復原方法
Microsoft 偵測和回應團隊將保護您免於遭受攻擊
了解並修正導致最早發生入侵的基本安全性問題,應該是勒索軟體目標的首要任務。
將外部專家整合到流程中以補充專業知識,例如 Microsoft 事件回應。 「Microsoft 事件回應」會與世界各地的客戶互動,協助在攻擊發生前進行防護和加固,以及在攻擊發生時進行調查和補救。
客戶可以直接從 Microsoft Defender 入口網站內與我們的安全性專家互動,以取得及時且正確的回應。 專家會提供您需要的見解,幫助您深入了解影響組織的複雜威脅,從警示查詢、可能遭入侵的裝置、可疑網路連線的根本原因,到其他有關進行中進階持續性威脅活動的威脅情報。
Microsoft 已準備好協助貴公司恢復安全營運。
Microsoft 執行了數百次入侵復原,擁有久經考驗的方法。 不僅能讓您站到更安全的位置,還讓您有機會考慮長期策略,而不是碰到情況再反應。
Microsoft 提供快速勒索軟體復原服務。 依據此服務,我們會在還原身分識別服務、補救和強化等所有領域提供協助,並利用監視部署協助勒索軟體攻擊的目標在最短的時間範圍內返回正常業務。
我們的快速勒索軟體復原服務在互動期間會被視為「機密」。 「入侵復原安全性實務」(CRSP) 小組是 Azure 雲端和 AI 網域的一部分,專門提供快速勒索軟體復原互動。 如需詳細資訊,您可以使用要求連絡 Azure 安全性支援來連絡 CRSP。
下一步是什麼
請參閱此白皮書:適用於勒索軟體攻擊的 Azure 防禦措施白皮書。
此系列的其他文章: