你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
勒索软件事件通常具有安全团队可以识别的不同警告信号。 与其他恶意软件类型不同,勒索软件通常会出现高度明显的指标,在宣布事件之前需要极少的调查。 这些高置信度触发器与升级前需要广泛分析的更微妙的威胁形成鲜明对比。 当勒索软件袭击时,证据往往是明确的。
一般来说,此类感染从基本系统行为、缺少关键系统或用户文件以及赎金需求中明显可见。 在这种情况下,分析师应考虑是否立即声明并升级事件,包括采取任何自动作来缓解攻击。
检测勒索软件攻击
Microsoft Defender for Cloud 提供高质量的威胁检测和响应功能(也称为扩展检测和响应 (XDR))。
确保快速检测对 VM、SQL Server、Web 应用程序和标识的常见攻击并进行相应的补救。
优先考虑常见入口点 – 勒索软件(和其他)操作员偏爱终端/电子邮件/身份 + 远程桌面协议 (RDP)
监视禁用安全措施的对手 - 通常是人为操作的勒索软件 (HumOR) 攻击链的一部分
事件日志清除 – 尤其是安全事件日志和 PowerShell 操作日志
- 禁用安全工具/控制措施(与某些组关联)
不忽略商业恶意软件 - 勒索软件攻击者会定期从黑市购买对目标组织的访问权限
响应勒索软件攻击
事件声明
确认成功感染勒索软件后,分析人员应验证它是否表示新事件,或者它是否可能与现有事件相关。 查找指示类似事件的当前正在处理中的工单。 如果有,请用票证系统中的新信息更新当前事件票证。 如果这是一个新事件,则应在相关票证系统中声明事件,并将其上报给适当的团队或提供商,以限制并缓解事件。 请注意,管理勒索软件事件可能需要由多个 IT 和安全团队采取行动。 在可能的情况下,请确保将该票证清楚地标识为勒索软件事件以引导工作流。
限制/缓解
通常,应将各种服务器/终结点反恶意软件、电子邮件反恶意软件和网络保护解决方案配置为自动包含和缓解已知勒索软件。 但是,在某些情况下,特定的勒索软件变体可以绕过此类保护并成功感染目标系统。
Microsoft 在首要的 Azure 安全最佳做法中提供了广泛的资源来帮助更新你的事件响应过程。
推荐采取以下措施,以遏制或缓解涉及勒索软件的已声明事件,当反恶意软件系统所采取的自动措施未能成功时:
- 通过标准支持流程吸引反恶意软件供应商
- 将与恶意软件关联的哈希和其他信息手动添加到反恶意软件系统
- 应用反恶意软件供应商更新
- 限制受影响的系统,直到可以对其进行修正
- 禁用遭到入侵的帐户
- 执行根本原因分析
- 在受影响的系统上应用相关的补丁和配置更改
- 使用内部和外部控制措施阻止勒索软件通信
- 清除缓存内容
恢复之路
Microsoft检测和响应团队可帮助保护你免受攻击
对于勒索软件目标而言,率先了解并修复导致入侵的根本安全问题应是重中之重。
将外部专家(例如 Microsoft 事件响应)纳入流程中,以补充专业知识。 Microsoft 事件响应团队与全球各地客户开展合作,帮助客户在攻击发生前加强安全防范,并在攻击发生时予以调查和修正。
客户可从 Microsoft Defender 门户中直接联系我们的安全专家,以便及时、精准地获得响应。 专家将提供客户所需的见解,以便客户更好地了解影响组织的复杂威胁(从警报查询、可能遭到入侵的设备、可疑网络连接的根本原因到与持续的高级持久威胁活动有关的其他威胁情报)。
Microsoft 已准备好帮助你的公司重返安全运营。
Microsoft 会执行数百次安全妥协恢复,并且有一套成熟可靠的方法。 它不仅让你更加安全,还为你提供考虑长期策略(而不是应对这种情况)的机会。
Microsoft 提供快速勒索软件恢复服务。 在这种情况下,Microsoft 将在所有方面(如还原标识服务、修正和强化以及监视部署)提供协助,以帮助勒索软件攻击目标在尽可能最短的时间内恢复正常工作。
我们的快速勒索软件恢复服务在服务的持续时间内被视为“机密”。 快速勒索软件恢复服务由入侵恢复安全实践 (CRSP) 团队(“Azure 云与 AI 领域”的一部分)专门提供。 有关详细信息,可以通过请求有关 Azure 安全的联系人联系 CRSP。
后续步骤
参阅白皮书:Azure 针对勒索软件攻击的防御措施白皮书。
本系列中的其他文章: