Fallstudie zur Microsoft Incident Response Ransomware

Die vom Menschen betriebene Ransomware hält ihre Position weiterhin als eines der wirkungsvollsten Cyberangriffstrends weltweit und ist eine erhebliche Bedrohung, die viele Organisationen in den letzten Jahren konfrontiert haben. Diese Angriffe nutzen netzwerkverwendende Konfigurationen und gedeihen auf der schwachen Inneren Sicherheit einer Organisation. Obwohl diese Angriffe eine klare und vorhandene Gefahr für Organisationen und ihre IT-Infrastruktur und -Daten darstellen, sind sie eine verhinderbare Katastrophe.

Das Microsoft Incident Response-Team (früher DART/CRSP) reagiert auf Sicherheitskompromittierungen, um Kunden dabei zu helfen, cybersicher zu werden. Microsoft Incident Response bietet vor Ort reaktive Vorfallreaktionen und proaktive Remoteuntersuchungen. Microsoft Incident Response nutzt die strategischen Partnerschaften von Microsoft mit Sicherheitsorganisationen auf der ganzen Welt und internen Microsoft-Produktgruppen, um die umfassendste und gründlichste Untersuchung zu ermöglichen.

In diesem Artikel wird beschrieben, wie microsoft Incident Response einen kürzlich durchgeführten Ransomware-Vorfall mit Details zu den Angriffstaktiken und Erkennungsmechanismen untersucht hat.

Weitere Informationen finden Sie in Teil 1 und Teil 2 des Leitfadens zur Reaktion auf Vorfälle von Microsoft-Vorfällen zur Bekämpfung von menschlichen Ransomware.

Der Angriff

Microsoft Incident Response nutzt Tools und Taktiken zur Reaktion auf Vorfälle, um Bedrohungsakteurverhalten für von Menschen betriebene Ransomware zu identifizieren. Öffentliche Informationen zu Ransomware-Ereignissen konzentrieren sich auf die Endwirkung, aber selten zeigt die Details des Vorgangs und wie Bedrohungsakteure ihren Zugriff unerkannt eskalieren konnten, um zu entdecken, monetarisieren und erpressen.

Hier sind einige gängige Techniken, die Angreifer für Ransomware-Angriffe basierend auf MITRE ATT&CK-Taktiken verwenden.

Microsoft Incident Response hat Microsoft Defender für Endpunkt verwendet, um den Angreifer über die Umgebung nachzuverfolgen, eine Geschichte zu erstellen, die den Vorfall darstellt, und dann die Bedrohung zu beseitigen und zu beheben. Nach der Bereitstellung begann Defender für Endpunkt, erfolgreiche Anmeldungen aus einem Brute-Force-Angriff zu erkennen. Als microsoft Incident Response dies festgestellt hat, überprüften sie die Sicherheitsdaten und fanden mehrere anfällige Internetgeräte mithilfe des Remotedesktopprotokolls (RDP).

Nachdem der anfängliche Zugriff erhalten wurde, verwendete der Bedrohungsakteur das Mimikatz-Tool zum Sammeln von Anmeldeinformationen, um Kennworthashes abzubilden, in Nur-Text gespeicherte Anmeldeinformationen zu scannen, Hintertüren mit Sticky Key-Manipulation zu erstellen und später über Remotedesktopsitzungen im gesamten Netzwerk zu verschieben.

Für diese Fallstudie ist hier der hervorgehobene Pfad, den der Angreifer genommen hat.

In den folgenden Abschnitten werden zusätzliche Details basierend auf den MITRE ATT&CK-Taktiken beschrieben und Beispiele für die Erkennung der Aktivitäten der Bedrohungsakteur mit dem Microsoft Defender-Portal.

Anfänglicher Zugriff

Ransomware-Kampagnen verwenden bekannte Sicherheitsanfälligkeiten für ihren anfänglichen Einstieg, in der Regel mithilfe von Phishing-E-Mails oder Schwachstellen in der Umkreisabwehr, z. B. Geräte mit dem aktivierten Remotedesktopdienst, der im Internet verfügbar gemacht wird.

Für diesen Vorfall wurde microsoft Incident Response verwaltet, um ein Gerät zu finden, das TCP-Port 3389 für RDP für das Internet verfügbar gemacht hat. Dadurch konnten Bedrohungsakteure einen Brute-Force-Authentifizierungsangriff durchführen und die erste Fußzeile gewinnen.

Defender für Endpunkt verwendete Bedrohungserkennung, um festzustellen, dass es zahlreiche Anmeldungen aus bekannten Brute-Force-Quellen gab und sie im Microsoft Defender-Portal anzeigte. Im Folgenden sehen Sie ein Beispiel.

Erkundung

Nachdem der erste Zugriff erfolgreich war, begann die Enumeration der Umgebung und die Geräteermittlung. Diese Aktivitäten ermöglichten es den Bedrohungsakteuren, Informationen über das interne Netzwerk der Organisation zu identifizieren und wichtige Systeme wie Domänencontroller, Sicherungsserver, Datenbanken und Cloudressourcen zu identifizieren. Nach der Aufzählung und der Geräteermittlung haben die Bedrohungsakteure ähnliche Aktivitäten ausgeführt, um anfällige Benutzerkonten, Gruppen, Berechtigungen und Software zu identifizieren.

Der Bedrohungsakteur nutzt advanced IP Scanner, ein Tool zum Scannen von IP-Adressen, um die in der Umgebung verwendeten IP-Adressen aufzuführen und nachfolgende Portüberprüfungen durchzuführen. Der Bedrohungsakteur hat geöffnete Ports gescannt, um Geräte zu ermitteln, auf die über das anfänglich kompromittierte Gerät zugegriffen werden kann.

Diese Aktivität wurde in Defender für Endpunkt erkannt und als Indikator für Kompromittierung (IoC) zur weiteren Untersuchung verwendet. Im Folgenden sehen Sie ein Beispiel.

Diebstahl von Anmeldeinformationen

Nachdem bedrohungsbeteiligte Akteure den ersten Zugriff erhalten haben, haben sie die Erfassung von Anmeldeinformationen mit dem Mimikatz-Kennwortabruftool durchgeführt und nach Dateien gesucht, die "Kennwort" auf anfänglich kompromittierten Systemen enthalten. Diese Aktionen ermöglichten den Bedrohungsakteuren den Zugriff auf zusätzliche Systeme mit legitimen Anmeldeinformationen. In vielen Situationen verwenden Bedrohungsakteure diese Konten, um zusätzliche Konten zu erstellen, um persistenz zu bleiben, nachdem die ersten kompromittierten Konten identifiziert und behoben wurden.

Hier ist ein Beispiel für die erkannte Verwendung des Mimikatz im Microsoft Defender-Portal.

Lateralverschiebung

Die Bewegung über Endpunkte hinweg kann zwischen verschiedenen Organisationen variieren, aber Bedrohungsakteure verwenden häufig unterschiedliche Arten von Remoteverwaltungssoftware, die bereits auf dem Gerät vorhanden sind. Durch die Nutzung von Methoden des Remotezugriffs, die die IT-Abteilung häufig in ihren täglichen Aktivitäten verwendet, können Bedrohungsakteure über längere Zeiträume unter das Netz fliegen.

Die Microsoft Incident Response hat Microsoft Defender for Identity verwendet, um den Pfad zu ermitteln, den der Bedrohungsakteur zwischen Geräten verwendet hat, und zeigt die verwendeten Konten an, auf die zugegriffen wurde. Im Folgenden sehen Sie ein Beispiel.

Verteidigungshinterziehung

Um die Erkennung zu vermeiden, verwendeten die Bedrohungsakteure Verteidigungshinterziehungstechniken, um die Identifizierung zu vermeiden und ihre Ziele während des gesamten Angriffszyklus zu erreichen. Zu diesen Techniken gehören das Deaktivieren oder Manipulieren von Antivirenprodukten, das Deinstallieren oder Deaktivieren von Sicherheitsprodukten oder -features, das Ändern von Firewallregeln und die Verwendung von Verschleierungstechniken, um die Artefakte eines Angriffs von Sicherheitsprodukten und -diensten auszublenden.

Der Bedrohungsakteur für diesen Vorfall hat PowerShell verwendet, um den Echtzeitschutz für Microsoft Defender auf Windows 11- und Windows 10-Geräten und lokalen Netzwerktools zu deaktivieren, um TCP-Port 3389 zu öffnen und RDP-Verbindungen zuzulassen. Diese Änderungen verringerten die Wahrscheinlichkeit der Erkennung in einer Umgebung, da sie Systemdienste geändert haben, die böswillige Aktivitäten erkennen und benachrichtigen.

Defender für Endpunkt kann jedoch nicht vom lokalen Gerät deaktiviert werden und konnte diese Aktivität erkennen. Im Folgenden sehen Sie ein Beispiel.

Ausdauer

Persistenztechniken umfassen Aktionen von Bedrohungsakteuren, um den konsistenten Zugriff auf Systeme aufrechtzuerhalten, nachdem die Bemühungen der Sicherheitsmitarbeiter unternommen wurden, die Kontrolle über kompromittierte Systeme wieder zu erlangen.

Die Bedrohungsakteure für diesen Vorfall verwendeten den Sticky Keys Hack, da sie die Remoteausführung einer Binärdatei innerhalb des Windows-Betriebssystems ohne Authentifizierung ermöglicht. Sie haben diese Funktion dann verwendet, um eine Eingabeaufforderung zu starten und weitere Angriffe auszuführen.

Hier ist ein Beispiel für die Erkennung des Sticky Keys Hack im Microsoft Defender-Portal.

Auswirkung

Bedrohungsakteure verschlüsseln dateien in der Regel mithilfe von Anwendungen oder Features, die bereits in der Umgebung vorhanden sind. Die Verwendung von PsExec, Gruppenrichtlinien und Microsoft Endpoint Configuration Management sind Methoden der Bereitstellung, die es einem Akteur ermöglichen, Schnell zu Endpunkten und Systemen zu gelangen, ohne normale Vorgänge zu unterbrechen.

Der Bedrohungsakteur für diesen Vorfall nutzt PsExec, um ein interaktives PowerShell-Skript aus verschiedenen Remotefreigaben remote zu starten. Diese Angriffsmethode randomisiert Verteilungspunkte und macht die Behebung während der letzten Phase des Ransomware-Angriffs schwieriger.

Ransomware-Ausführung

Ransomware-Ausführung ist eine der primären Methoden, die ein Bedrohungsakteur verwendet, um ihren Angriff zu monetarisieren. Unabhängig von der Ausführungsmethode neigen unterschiedliche Ransomware-Frameworks dazu, ein gemeinsames Verhaltensmuster nach der Bereitstellung zu haben:

• Verschleiern von Bedrohungsakteuraktionen
• Persistenz herstellen
• Deaktivieren der Windows-Fehlerwiederherstellung und der automatischen Reparatur
• Beenden einer Liste von Diensten
• Beenden einer Liste von Prozessen
• Löschen von Schattenkopien und Sicherungen
• Verschlüsseln von Dateien, möglicherweise angeben von benutzerdefinierten Ausschlüssen
• Erstellen einer Ransomware-Notiz

Hier ist ein Beispiel für eine Ransomware-Notiz.

Zusätzliche Ransomware-Ressourcen

Wichtige Informationen von Microsoft:

• Die wachsende Bedrohung von Ransomware, Microsoft On the Issues Blogbeitrag am 20. Juli 2021
• Von Menschen betriebene Ransomware
• Schnelles Schützen vor Ransomware und Erpressung
• 2021 Microsoft Digital Defense Report (siehe Seiten 10-19)
• Ransomware: Ein pervasiver und fortlaufender Bericht zur Bedrohungsanalyse im Microsoft Defender-Portal
• Microsoft Incident Response Ransomware-Ansatz und bewährte Methoden

Microsoft 365:

• Bereitstellen des Ransomware-Schutzes für Ihren Microsoft 365-Mandanten
• Maximieren der Ransomware-Resilienz mit Azure und Microsoft 365
• Wiederherstellen von einem Ransomware-Angriff
• Schutz vor Schadsoftware und Ransomware
• Schützen Ihres Windows 10-PCs vor Ransomware
• Umgang mit Ransomware in SharePoint Online
• Bedrohungsanalyseberichte für Ransomware im Microsoft Defender-Portal

Microsoft Defender XDR:

• Finden Sie Ransomware mit erweiterter Suche

Microsoft Defender für Cloud-Apps:

• Erstellen von Anomalieerkennungsrichtlinien in Defender für Cloud-Apps

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximieren der Ransomware-Resilienz mit Azure und Microsoft 365
• Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware
• Schutz vor Ransomware mit Microsoft Azure Backup (26 Minuten Video)
• Wiederherstellung von systemischer Identitätskompromittierung
• Erweiterte Multistage-Angriffserkennung in Microsoft Sentinel
• Fusionserkennung für Ransomware in Microsoft Sentinel

Blogbeiträge des Microsoft Security-Teams:

• 3 Schritte, um Ransomware zu verhindern und wiederherzustellen (September 2021)

• Ein Leitfaden zur Bekämpfung von menschlichen Ransomware: Teil 1 (September 2021)

  Wichtige Schritte zur Durchführung von Ransomware-Vorfalluntersuchungen durch Microsoft Incident Response.

• Ein Leitfaden zur Bekämpfung von menschlichen Ransomware: Teil 2 (September 2021)

  Empfehlungen und bewährte Methoden.

• Ausfallsicherheit durch Verständnis von Cybersicherheitsrisiken: Teil 4 – Navigieren in aktuellen Bedrohungen (Mai 2021)

  Siehe den Abschnitt Ransomware .

• Von Menschen betriebene Ransomware-Angriffe: Eine verhinderbare Katastrophe (März 2020)

  Umfasst Angriffskettenanalysen von tatsächlichen Angriffen.

• Ransomware Antwort - bezahlen oder nicht bezahlen? (Dezember 2019)

• Norsk Hydro reagiert auf Ransomware-Angriffe mit Transparenz (Dezember 2019)