通过

检测和响应勒索软件攻击

勒索软件事件通常具有安全团队可以识别的不同警告信号。 与其他恶意软件类型不同,勒索软件通常会出现高度明显的指标,在宣布事件之前需要极少的调查。 这些高置信度触发器与升级前需要广泛分析的更微妙的威胁形成鲜明对比。 当勒索软件袭击时,证据往往是明确的。

一般来说,此类感染从基本系统行为、缺少关键系统或用户文件以及赎金需求中明显可见。 在这种情况下,分析师应考虑是否立即声明并升级事件,包括采取任何自动作来缓解攻击。

小窍门

有关所有Microsoft平台和服务的综合勒索软件检测和响应指南,请参阅 保护组织免受勒索软件和敲诈勒索的侵害。 本文重点介绍基于 Azure 的检测和响应功能。

检测勒索软件攻击

Microsoft Defender for Cloud 为 Azure 资源提供高质量的威胁检测和响应功能,也称为“扩展检测和响应”(XDR)。

确保在 Azure 环境中快速检测和修正 Azure VM、SQL Server、Web 应用程序和标识上的常见攻击。

  • 确定常见入口点的优先级 - 勒索软件(和其他)操作员倾向于 Endpoint/Email/Identity + 远程桌面协议 (RDP)

    • 集成 XDR - 使用集成的扩展检测和响应(XDR)工具(如 Microsoft Defender for Cloud )为 Azure 资源提供高质量的警报,并最大程度地减少响应期间的摩擦和手动步骤
    • 监视暴力破解尝试,例如针对 Azure 资源的密码喷射攻击。

  • 监视攻击者关闭安全机制 - 通常是人工操作勒索软件(HumOR)攻击链的一部分

  • 事件日志清除 - 尤其是 Azure VM 上的安全事件日志和 PowerShell作日志

    • 禁用安全工具/控制措施(与某些组关联)

  • 不忽略商业恶意软件 - 勒索软件攻击者会定期从黑市购买对目标组织的访问权限

  • 将外部专家集成到 流程中,以补充专业知识,例如 Microsoft事件响应团队

  • 使用 Defender for Endpoint快速隔离遭到入侵的 Azure VM。

响应勒索软件攻击

事件声明

确认成功感染勒索软件后,分析人员应验证它是否表示新事件,或者它是否可能与现有事件相关。 查找指示类似事件的当前正在处理中的工单。 如果有,请用票证系统中的新信息更新当前事件票证。 如果这是一个新事件,则应在相关票证系统中声明事件,并将其上报给适当的团队或提供商,以限制并缓解事件。 请注意,管理勒索软件事件可能需要由多个 IT 和安全团队采取行动。 在可能的情况下,请确保将该票证清楚地标识为勒索软件事件以引导工作流。

限制/缓解

通常,应将各种服务器/终结点反恶意软件、电子邮件反恶意软件和网络保护解决方案配置为自动包含和缓解已知勒索软件。 但是,在某些情况下,特定的勒索软件变体可以绕过此类保护并成功感染目标系统。

Microsoft 在首要的 Azure 安全最佳做法中提供了广泛的资源来帮助更新你的事件响应过程。

推荐采取以下措施,以遏制或缓解涉及勒索软件的已声明事件,当反恶意软件系统所采取的自动措施未能成功时:

  1. 通过标准支持流程吸引反恶意软件供应商
  2. 将与恶意软件关联的哈希和其他信息手动添加到反恶意软件系统
  3. 应用反恶意软件供应商更新
  4. 限制受影响的系统,直到可以对其进行修正
  5. 禁用遭到入侵的帐户
  6. 执行根本原因分析
  7. 在受影响的系统上应用相关的补丁和配置更改
  8. 使用内部和外部控制措施阻止勒索软件通信
  9. 清除缓存内容

恢复之路

Microsoft事件响应团队可帮助保护你免受攻击。

对于勒索软件目标而言,率先了解并修复导致入侵的根本安全问题应是重中之重。

将外部专家(例如 Microsoft 事件响应)纳入流程中,以补充专业知识。 Microsoft事件响应与世界各地的客户互动,帮助保护和强化 Azure 环境免受攻击的侵害,以及在发生攻击时进行调查和修正。

客户可从 Microsoft Defender 门户中直接联系我们的安全专家,以便及时、精准地获得响应。 专家将提供客户所需的见解,以便客户更好地了解影响组织的复杂威胁(从警报查询、可能遭到入侵的设备、可疑网络连接的根本原因到与持续的高级持久威胁活动有关的其他威胁情报)。

Microsoft 已准备好帮助你的公司重返安全运营。

Microsoft 会执行数百次安全妥协恢复,并且有一套成熟可靠的方法。 它不仅让你更加安全,还为你提供考虑长期策略(而不是应对这种情况)的机会。

Microsoft 提供快速勒索软件恢复服务。 根据这一点,在标识服务恢复、修正和强化等所有领域都提供了帮助,以及监视部署,以帮助勒索软件攻击的目标在最短的时间范围内恢复正常业务。

我们的快速勒索软件恢复服务在服务的持续时间内被视为“机密”。 Microsoft事件响应团队专门提供的快速勒索软件恢复服务。 有关详细信息,您可以通过请求与 Microsoft 事件响应团队联系,了解 Azure 安全性

后续步骤

有关所有Microsoft平台和服务的综合勒索软件保护指南,请参阅 保护组织免受勒索软件和敲诈勒索

参阅白皮书:Azure 针对勒索软件攻击的防御措施白皮书

其他 Azure 勒索软件文章:

  • Last updated on