Étude de cas de ransomware De réponse aux incidents Microsoft

Les ransomwares gérés par l’homme continuent de maintenir sa position comme l’une des tendances de cyber-attaque les plus impactées dans le monde entier et est une menace importante que de nombreuses organisations ont rencontrées ces dernières années. Ces attaques tirent parti des mauvaises configurations réseau et prospèrent sur la sécurité intérieure faible d’une organisation. Bien que ces attaques présentent un danger clair et présent pour les organisations et leur infrastructure informatique et leurs données, elles constituent une catastrophe évitable.

L’équipe de réponse aux incidents Microsoft (anciennement DART/CRSP) répond aux compromis de sécurité pour aider les clients à devenir cyber-résilients. La réponse aux incidents Microsoft fournit une réponse réactive aux incidents sur site et des enquêtes proactives à distance. Microsoft Incident Response s’appuie sur les partenariats stratégiques de Microsoft avec les organisations de sécurité du monde entier et les groupes de produits Microsoft internes pour fournir l’examen le plus complet et approfondi possible.

Cet article décrit comment La réponse aux incidents Microsoft a examiné un incident de ransomware récent avec des détails sur les tactiques d’attaque et les mécanismes de détection.

Consultez la partie 1 et la partie 2 du guide de la réponse aux incidents Microsoft pour lutter contre les ransomwares gérés par l’homme pour plus d’informations.

L’attaque

La réponse aux incidents Microsoft tire parti des outils et tactiques de réponse aux incidents pour identifier les comportements des acteurs des menaces pour les ransomwares gérés par l’homme. Les informations publiques sur les événements de ransomware se concentrent sur l’impact final, mais mettent rarement en évidence les détails de l’opération et la façon dont les acteurs de menace ont pu élever leur accès non détecté pour découvrir, monétiser et extorter.

Voici quelques techniques courantes que les attaquants utilisent pour les attaques par ransomware en fonction des tactiques MITRE ATT&CK.

La réponse aux incidents Microsoft a utilisé Microsoft Defender pour point de terminaison pour suivre l’attaquant via l’environnement, créer un article illustrant l’incident, puis éradiquer la menace et corriger. Une fois déployé, Defender pour point de terminaison a commencé à détecter les connexions réussies à partir d’une attaque par force brute. Lorsque la réponse aux incidents Microsoft a découvert cela, ils ont examiné les données de sécurité et trouvé plusieurs appareils vulnérables accessibles sur Internet à l’aide du protocole RDP (Remote Desktop Protocol).

Une fois l’accès initial obtenu, l’acteur de menace a utilisé l’outil de collecte des informations d’identification Mimikatz pour vider les hachages de mot de passe, analysé pour les informations d’identification stockées en texte clair, créé des portes dérobées avec manipulation de sticky Key et déplacé ultérieurement dans tout le réseau à l’aide de sessions bureau à distance.

Pour cette étude de cas, voici le chemin mis en évidence par l’attaquant.

Les sections suivantes décrivent des détails supplémentaires basés sur les tactiques MITRE ATT&CK et incluent des exemples de la façon dont les activités d’acteur de menace ont été détectées avec le portail Microsoft Defender.

Accès initial

Les campagnes de ransomware utilisent des vulnérabilités connues pour leur entrée initiale, généralement à l’aide d’e-mails d’hameçonnage ou de faiblesses dans la défense de périmètre, comme les appareils avec le service Bureau à distance activé exposé sur Internet.

Pour cet incident, La réponse aux incidents Microsoft a réussi à localiser un appareil avec le port TCP 3389 pour RDP exposé à Internet. Cela a permis aux acteurs de menace d’effectuer une attaque d’authentification par force brute et d’obtenir le pied de page initial.

Defender pour point de terminaison a utilisé le renseignement sur les menaces pour déterminer qu’il existe de nombreuses connexions provenant de sources de force brute connues et les affiche dans le portail Microsoft Defender. Voici un exemple.

Reconnaissance

Une fois l’accès initial réussi, l’énumération de l’environnement et la découverte d’appareils ont commencé. Ces activités ont permis aux acteurs des menaces d’identifier des informations sur le réseau interne de l’organisation et de cibler des systèmes critiques tels que les contrôleurs de domaine, les serveurs de sauvegarde, les bases de données et les ressources cloud de l’organisation. Après l’énumération et la découverte de l’appareil, les acteurs de menace ont effectué des activités similaires pour identifier les comptes d’utilisateurs vulnérables, les groupes, les autorisations et les logiciels.

L’acteur de menace a utilisé Advanced IP Scanner, un outil d’analyse d’adresses IP, pour énumérer les adresses IP utilisées dans l’environnement et effectuer l’analyse de port ultérieure. L’acteur de menace a analysé les ports ouverts pour découvrir les appareils accessibles à partir de l’appareil initialement compromis.

Cette activité a été détectée dans Defender pour point de terminaison et utilisée comme indicateur de compromission (IoC) pour une investigation plus approfondie. Voici un exemple.

Vol d’informations d’identification

Une fois que les acteurs des menaces ont obtenu l’accès initial, ils ont effectué la collecte des informations d’identification à l’aide de l’outil de récupération de mot de passe Mimikatz et en recherchant des fichiers contenant « mot de passe » sur les systèmes initialement compromis. Ces actions ont permis aux acteurs de menace d’accéder à des systèmes supplémentaires avec des informations d’identification légitimes. Dans de nombreuses situations, les acteurs de menace utilisent ces comptes pour créer des comptes supplémentaires pour maintenir la persistance après l’identification et la correction des comptes compromis initiaux.

Voici un exemple d’utilisation détectée du Mimikatz dans le portail Microsoft Defender.

Mouvement latéral

Le déplacement entre les points de terminaison peut varier entre différentes organisations, mais les acteurs des menaces utilisent généralement différentes variétés de logiciels de gestion à distance qui existent déjà sur l’appareil. En utilisant des méthodes d’accès à distance que le service informatique utilise couramment dans leurs activités quotidiennes, les acteurs des menaces peuvent voler sous le radar pendant des périodes prolongées.

La réponse aux incidents Microsoft a utilisé Microsoft Defender pour Identity pour mapper le chemin d’accès que l’acteur de menace a pris entre les appareils, affichant les comptes utilisés et accessibles. Voici un exemple.

Évasion de défense

Pour éviter la détection, les acteurs de la menace ont utilisé des techniques d’évasion de défense pour éviter l’identification et atteindre leurs objectifs tout au long du cycle d’attaque. Ces techniques incluent la désactivation ou la falsification de produits antivirus, la désinstallation ou la désactivation des produits ou fonctionnalités de sécurité, la modification des règles de pare-feu et l’utilisation de techniques d’obfuscation pour masquer les artefacts d’une intrusion à partir de produits et services de sécurité.

L’acteur de menace pour cet incident a utilisé PowerShell pour désactiver la protection en temps réel pour Microsoft Defender sur les appareils Windows 11 et Windows 10 et les outils de mise en réseau locaux pour ouvrir le port TCP 3389 et autoriser les connexions RDP. Ces modifications ont diminué les chances de détection dans un environnement, car elles ont modifié les services système qui détectent et alertent sur les activités malveillantes.

Toutefois, Defender pour point de terminaison ne peut pas être désactivé à partir de l’appareil local et a pu détecter cette activité. Voici un exemple.

Persistance

Les techniques de persistance incluent les actions effectuées par les acteurs des menaces pour maintenir un accès cohérent aux systèmes après que des efforts sont déployés par le personnel de sécurité pour reprendre le contrôle des systèmes compromis.

Les acteurs des menaces pour cet incident ont utilisé le hack Sticky Keys, car il permet l’exécution à distance d’un binaire à l’intérieur du système d’exploitation Windows sans authentification. Ils ont ensuite utilisé cette fonctionnalité pour lancer une invite de commandes et effectuer d’autres attaques.

Voici un exemple de détection du hack Sticky Keys dans le portail Microsoft Defender.

Impact

Les acteurs des menaces chiffrent généralement les fichiers à l’aide d’applications ou de fonctionnalités qui existent déjà dans l’environnement. L’utilisation de PsExec, de stratégie de groupe et de gestion de la configuration des points de terminaison Microsoft sont des méthodes de déploiement qui permettent à un acteur d’atteindre rapidement des points de terminaison et des systèmes sans perturber les opérations normales.

L’acteur de menace pour cet incident a tiré parti de PsExec pour lancer à distance un script PowerShell interactif à partir de différents partages distants. Cette méthode d’attaque aléatoire les points de distribution et rend la correction plus difficile pendant la phase finale de l’attaque par ransomware.

Exécution de ransomware

L’exécution de ransomware est l’une des principales méthodes utilisées par un acteur de menace pour monétiser leur attaque. Quelle que soit la méthodologie d’exécution, les frameworks de ransomware distincts ont tendance à avoir un modèle comportemental commun une fois déployé :

• Obfuscate threat actor actions
• Établir la persistance
• Désactiver la récupération des erreurs windows et la réparation automatique
• Arrêter une liste de services
• Terminer une liste de processus
• Supprimer des clichés instantanés et des sauvegardes
• Chiffrer des fichiers, éventuellement en spécifiant des exclusions personnalisées
• Créer une note de ransomware

Voici un exemple de note de ransomware.

Ressources de ransomware supplémentaires

Informations clés de Microsoft :

• La menace croissante des ransomwares, billet de blog Microsoft On the Issues le 20 juillet 2021
• Ransomware géré par l’homme
• Protéger rapidement contre les ransomwares et l’extorsion
• Rapport Microsoft Digital Defense 2021 (voir les pages 10-19)
• Ransomware : rapport d’analyse des menaces omniprésent et continu dans le portail Microsoft Defender
• Approche de ransomware de réponse aux incidents Microsoft et meilleures pratiques

Microsoft 365 :

• Déployer la protection contre les ransomwares pour votre locataire Microsoft 365
• Optimiser la résilience des ransomwares avec Azure et Microsoft 365
• Récupérer à partir d’une attaque par ransomware
• Protection contre les programmes malveillants et les ransomwares
• Protéger votre PC Windows 10 contre les ransomwares
• Gestion des ransomwares dans SharePoint Online
• Rapports d’analyse des menaces pour les ransomwares dans le portail Microsoft Defender

Microsoft Defender XDR :

• Rechercher des ransomwares avec la chasse avancée

Microsoft Defender pour Cloud Apps :

• Créer des stratégies de détection d’anomalies dans Defender pour Cloud Apps

Microsoft Azure :

• Défenses Azure pour attaque par ransomware
• Optimiser la résilience des ransomwares avec Azure et Microsoft 365
• Plan de sauvegarde et de restauration pour se protéger contre les ransomwares
• Protéger contre les ransomwares avec La sauvegarde Microsoft Azure (vidéo de 26 minutes)
• Récupération d’une compromission d’identité systémique
• Détection avancée des attaques en plusieurs étapes dans Microsoft Sentinel
• Détection de fusion pour ransomware dans Microsoft Sentinel

Billets de blog de l’équipe de sécurité Microsoft :

• 3 étapes pour empêcher et récupérer des ransomwares (septembre 2021)

• Guide de lutte contre les ransomwares gérés par l’homme : Partie 1 (septembre 2021)

  Étapes clés sur la façon dont Microsoft Incident Response effectue des enquêtes sur les incidents de ransomware.

• Guide de lutte contre les ransomwares gérés par l’homme : Partie 2 (septembre 2021)

  Recommandations et bonnes pratiques.

• Devenir résilient en comprenant les risques de cybersécurité : partie 4 : navigation dans les menaces actuelles (mai 2021)

  Consultez la section Ransomware .

• Attaques par ransomware gérées par l’homme : catastrophe évitable (mars 2020)

  Inclut des analyses de chaîne d’attaques des attaques réelles.

• Réponse aux ransomwares : payer ou ne pas payer ? (décembre 2019)

• Norsk Hydro répond aux attaques par ransomware avec transparence (décembre 2019)