🦔 📫 ⏫ كيفية تقليل المخاطر المرتبطة ببرامج الفدية 🆕 💚 😴

اليوم ، عندما أصبح العمل عن بعد أمرًا شائعًا ، ولم يكن الحمل على أخصائيي أمن المعلومات ، خاصة في مجال الرعاية الصحية والصناعات الحيوية الأخرى ، مرتفعًا على الإطلاق ، فإن أنشطة مجموعات الاختراق التي تدير تطبيقات التشفير لا تضعف.

قام العديد من مجموعات الاختراق ، التي اخترقت خلال عدة أشهر شبكات مختلفة وجمعت "القوة" ، بتنشيط عشرات النسخ من تطبيقات برامج الفدية الخاصة بهم في النصف الأول من أبريل. وقد أصيبت الهجمات بالمرافق الطبية وشركات فواتير الرعاية الصحية والشركات المصنعة وشركات النقل والوكالات الحكومية ومطوري برامج التدريب. وقد أظهر هذا أنه على الرغم من الأزمة العالمية ، فإن مجموعات الاختراق هذه تهمل عمل الخدمات الحيوية. ومع ذلك ، تتعرض الشركات من مناطق أخرى للهجوم أيضًا ، لذلك تحتاج المنظمات إلى إيلاء اهتمام خاص لعلامات التسوية.

في غضون أسبوعين من عمل المبرمجين ، زاد عدد الهجمات بالابتزاز قليلاً. ومع ذلك ، بعد دراسة أجراها خبراء Microsoft ، وكذلك نتائج التحقيق في حادثة أخرى أجراها فريق DART (فريق الكشف والاستجابة لـ Microsoft) ، اتضح أن العديد من حالات التسوية التي وفرت إمكانية حدوث هجمات حدثت حتى قبل ذلك. باستخدام التقنية النموذجية للهجمات باستخدام تطبيقات برامج الفدية التي يتحكم فيها الإنسان ، قام المهاجمون باختراق الشبكات المستهدفة على مدار الأشهر القليلة الماضية وانتظروا الفرصة لتحقيق الدخل من النتيجة عن طريق نشر البرامج الضارة في الوقت المناسب.

بدأت العديد من هذه الهجمات بالبحث في الأجهزة الضعيفة التي يمكن الوصول إليها من الإنترنت. في بعض الحالات ، بمساعدة القوة الغاشمة ، تم اختراق خوادم RDP. تم استخدام مجموعة واسعة من الأدوات أثناء الهجمات ، لكن جميعها استخدمت نفس التقنيات التي تميز الهجمات باستخدام تطبيقات برامج الفدية التي يتحكم فيها الإنسان: سرقة أوراق الاعتماد و "التحيز الجانبي" ، وبعد ذلك نشر المهاجمون الأدوات كما يحلو لهم. نظرًا لأن إدخال تطبيقات برامج الفدية يتم في المرحلة النهائية من الهجوم ، يجب على المدافعين التركيز على إيجاد آثار للمتسللين الذين يسرقون معلومات المحاسبة ، بالإضافة إلى علامات "النزوح الجانبي".

في هذه المقالة سنتحدث عن نتائج تحليل مثل هذه الحملات باستخدام تطبيقات برامج الفدية.

المحتوى:

لقد أضفنا عددًا من التفاصيل الفنية ، بما في ذلك دليل للكشف عن الهجمات والتوصيات بشأن أولوية إجراءات أمن المعلومات.

أنظمة ضعيفة وغير مراقبة يمكن الوصول إليها من الإنترنت وتسهل تنفيذ الهجمات التي يقودها الإنسان

على الرغم من نشر أدوات ابتزاز جديدة في الهجمات الأخيرة ، استخدم العديد من الهجمات البنية التحتية المتبقية من الحملات السابقة. كما استخدموا تقنيات معروفة جيدًا للهجمات الأخرى باستخدام برامج الفدية التي يحركها الإنسان.

على عكس هجمات البرامج الضارة التي يتم تسليمها عبر البريد الإلكتروني ، والتي تحدث عادةً بشكل أسرع بكثير ، في غضون ساعة من اختراقها الأولي ، فإن هجمات أبريل تشبه هجمات 2019 باستخدام Doppelpaymer. ثم تمكن المهاجمون من الوصول إلى الشبكات المستهدفة مسبقًا. ثم انتظروا عدة أشهر ، واختاروا اللحظة المناسبة لنشر تطبيقات برامج الفدية.

في الهجمات الأخيرة ، تم استخدام أنظمة يمكن الوصول إليها من الإنترنت ولها عيوب التالية لاختراق الشبكات المستهدفة:

Remote Desktop Protocol (RDP) (MFA).
, (, Windows Server 2003 Windows Server 2008). .
-, IIS, , .
Citrix Application Delivery Controller (ADC) CVE-2019-19781.
Pulse Secure VPN CVE-2019-11510.

لمنع مثل هذه الهجمات ، من الضروري تطبيق تصحيحات الأمان على الأنظمة التي يمكن الوصول إليها من الإنترنت. لاحظ أيضًا: على الرغم من أن خبراء Microsoft لم يلاحظوا ذلك بعد ، تشير المعلومات المتراكمة إلى أنه في النهاية ، يمكن للمهاجمين الاستفادة من نقاط الضعف هذه: CVE-2019-0604 ، CVE-2020-0688 ، CVE-2020-10189 .

كما هو الحال في العديد من حالات الاختراق ، سرق مجرمو الإنترنت أوراق الاعتماد ، واستخدموا "التحيز الجانبي" باستخدام أدوات شائعة مثل Mimikatz و Cobalt Strike ، وشاركوا في استطلاع الشبكة واستخراج البيانات. تمكن مشغلو البرامج الضارة من الوصول إلى الحسابات التي تتمتع بامتيازات المسؤول ، وفي هذه الحالة كانوا مستعدين لارتكاب المزيد من الإجراءات المدمرة. في الشبكات التي قام فيها المهاجمون بتثبيت برامجهم ، حافظوا عن عمد على وجودهم في بعض نقاط النهاية ، بقصد البدء في أنشطتهم مرة أخرى بعد استلام الفدية أو إعادة تثبيت الأنظمة. على الرغم من أن القليل فقط من مجموعات الاختراق أصبحت معروفة من خلال بيع البيانات التي تم جمعها ، إلا أن جميعهم تقريبًا نظروا واستخرجوا البيانات أثناء الهجمات ، حتى لو لم يعلنوا أو يبيعوا معلومات مسروقة بعد.

كما هو الحال في جميع الهجمات باستخدام برامج الفدية التي يتحكم فيها الإنسان ، في الحالات الموضحة ، انتشر نشاط المهاجمين عبر الشبكة ، بما في ذلك البريد الإلكتروني ونقاط النهاية والتطبيقات وغير ذلك الكثير. نظرًا لأنه قد يكون من الصعب على الخبراء التخلص تمامًا من المجرمين الإلكترونيين في شبكة مخترقة ، فمن المهم للغاية تصحيح الأنظمة الضعيفة التي يمكن الوصول إليها من الإنترنت وفرض قيود من أجل تقليل المخاطر.

شركة ابتزاز موتلي

يصف هذا الفصل الأنواع المختلفة من الهجمات وعائلات برامج الفدية ، لكن الهجمات التي ناقشناها تتبع نمطًا شائعًا واحدًا ، مع اختلافات طفيفة. تطورت الهجمات بطريقة مماثلة ، بشكل عام باستخدام نفس التقنيات. ويعتمد اختيار برنامج فدية معين في نهاية الهجوم بشكل كامل تقريبًا على طعم المهاجمين.

RobbinHood Ransomware

جذب مشغلو برامج Ransinware Ransomware الانتباه بسبب استخدام برامج تشغيل ضعيفة لتعطيل برامج الأمان في المراحل المتأخرة من الهجوم. ومع ذلك ، كما هو الحال في العديد من الهجمات المماثلة ، فقد بدأوا بالقوة الوحشية لـ RDP على مورد غير آمن. ونتيجة لذلك ، حصل المهاجمون على بيانات اعتماد عالية الامتياز ، بشكل رئيسي من حسابات المشرف المحلية التي تحتوي على كلمات مرور مشتركة أو شائعة ، بالإضافة إلى حسابات الخدمة التي تتمتع بامتيازات مسؤول المجال. مشغلي RobbinHood ، بالإضافة إلى مشغلي Ryuk ومجموعات الاختراق الأخرى غير المبردة ، يتركون وراءهم حسابات محلية وحسابات Active Directory جديدة من أجل الوصول إلى الشبكة مرة أخرى بعد إزالة أدواتهم.

محمل الإقلاع

غالبًا ما يقوم المهاجمون بتغيير بنيتهم التحتية وأساليبهم وأدواتهم لتجنب السمعة السيئة ، الأمر الذي قد يجذب انتباه وكالات إنفاذ القانون أو الباحثين في مجال أمن المعلومات. في كثير من الأحيان ، يحتفظ المتسللون بأدواتهم ، في انتظار شركات أمن المعلومات للنظر في القطع الأثرية المقابلة غير نشطة لجذب اهتمام أقل. Vatet هو محمل إقلاع لإطار Cobalt Strike ، والذي تم استخدامه في الهجمات في نوفمبر 2018 ، وظهر مرة أخرى في الأحداث الأخيرة.

على الأرجح ، كان مشغلو الجرافة ينوون التخصص في المستشفيات والمنشآت الطبية وموردي الأنسولين ومصنعي المعدات الطبية والمنظمات الحيوية الأخرى. هذه هي بعض من أكثر برامج تشغيل برامج الفدية إنتاجًا والتي تتعلق بعشرات الهجمات.

بمساعدة Vatet و Cobalt Strike ، قامت مجموعة الاختراق بتثبيت برامج الفدية المختلفة. لقد نشروا مؤخرًا تطبيقًا داخل الذاكرة يستخدم تدفقات البيانات البديلة (ADS) ويعرض إصدارات مبسطة من متطلبات إعادة الشراء من عائلات التطبيقات القديمة. يتمكن المهاجمون من الوصول إلى الشبكات باستخدام الثغرة CVE-2019-19781 ، وحشية نقطة النهاية باستخدام RDP ، والرسائل البريدية التي تحتوي على ملفات .lnk التي تشغل أوامر PowerShell الضارة. بمجرد اختراق الشبكة ، يسرق المتسللون بيانات الاعتماد ، بما في ذلك من مستودع إدارة بيانات الاعتماد ، ويستخدمون "التحيز الجانبي" حتى يحصلوا على امتيازات مسؤول المجال. وفقا للملاحظات ، قبل نشر برامج الفدية ، يقوم المشغلون باستخراج البيانات من الشبكة.

NetWalker Ransomware

أصبح مشغلو NetWalker سيئ السمعة للهجمات على المستشفيات والمنشآت الطبية التي أرسلوا خلالها رسائل واعدة بتقديم معلومات حول COVID-19. تم تضمين برنامج NetWalker في الحروف كمرفق .vbs ، وقد جذبت هذه التقنية انتباه وسائل الإعلام. ومع ذلك ، قام المشغلون أيضًا باختراق الشبكة باستخدام تطبيقات تستند إلى IIS بشكل غير صحيح لإطلاق برنامج Mimikatz وسرقة بيانات الاعتماد. ثم ، باستخدام هذه المعلومات ، أطلق المهاجمون PsExec ، ونتيجة لذلك قاموا بتثبيت NetWalker.

PonyFinal Ransomware

يعتبر برنامج Java هذا أمرًا جديدًا ، لكن الهجمات باستخدامه ليست غير شائعة. اخترق المشغلون أنظمة الويب التي يمكن الوصول إليها من الإنترنت وحصلوا على بيانات اعتماد مميزة. لضمان استقرار وجودهم على الشبكة التي تمت مهاجمتها ، يستخدم المهاجمون أوامر PowerShell لتشغيل أداة نظام mshta.exe وتكوين اتصال shell عكسي بناءً على إطار PowerShell الشهير للهجمات. أيضًا ، استخدم المتسللون أدوات مشروعة مثل Splashtop للحفاظ على الاتصال بأجهزة سطح المكتب البعيدة.

المتاهة Ransomware

واحدة من أولى حملات الفدية التي تصدرت العناوين الرئيسية لبيع البيانات المسروقة. متاهة تواصل التخصص في مزودي التكنولوجيا والخدمات العامة. تم استخدام برنامج الفدية هذا ضد مزودي الخدمة المدارة (MSP) للوصول إلى بيانات وشبكات عملائهم.

تنتشر المتاهة من خلال الحروف ، لكن المشغلين قاموا أيضًا بتثبيت البرنامج بعد الوصول إلى الشبكات باستخدام ناقلات الهجوم الشائعة مثل القوة الغاشمة RDP. بعد اختراق الشبكة ، يقوم المهاجمون بسرقة بيانات الاعتماد ، وإجراء "تعويض جانبي" للوصول إلى الموارد واستخراج البيانات ، ثم تثبيت برنامج الفدية.

خلال حملة القرصنة الأخيرة ، قام باحثو Microsoft بتتبع كيفية حصول مشغلي Maze على إمكانية الوصول من خلال وحشية RDP لحساب مسؤول محلي على نظام يمكن الوصول إليه عبر الإنترنت. بعد القوة المفرطة لكلمة المرور ، تمكن المشغلون من تنفيذ "التحول الجانبي" ، لأن حسابات المشرف المضمنة في نقاط النهاية الأخرى تستخدم نفس كلمة المرور.

بعد سرقة بيانات الاعتماد من حساب مسؤول المجال ، استخدم المتسللون Cobalt Strike و PsExec وعددًا من الأدوات الأخرى لتقديم جميع أنواع الحمولة والوصول إلى البيانات. نظم المهاجمون تواجدًا خاليًا من الملفات على الشبكة باستخدام برنامج جدولة المهام والخدمات التي تقوم بتشغيل الأصداف البعيدة المستندة إلى PowerShell. أيضًا ، قام المتسللون بتشغيل Windows Remote Management للحفاظ على التحكم باستخدام حساب مسؤول مجال مسروق. لإضعاف السيطرة على أمن المعلومات استعدادًا لتثبيت برنامج الفدية ، تلاعب المهاجمون في إعدادات مختلفة من خلال سياسات المجموعة.

Ransomware REvil

ربما تكون هذه هي المجموعة الأولى من مشغلي برامج الفدية التي تستغل نقاط الضعف في الشبكة في Pulse VPN لسرقة بيانات الاعتماد من أجل الوصول إلى الشبكة. أصبح REvil (أو Sodinokibi) معروفًا باختراق MSP ، والحصول على الوصول إلى شبكات ووثائق عملائها ، وكذلك بيع الوصول إليها. واصل المهاجمون القيام بذلك خلال الأزمة الحالية ، حيث هاجموا جماعة التخطيط الاستراتيجي وأهداف أخرى ، بما في ذلك الوكالات الحكومية. تتميز هجمات REvil باستخدام نقاط ضعف جديدة ، ولكن أساليبها تشبه تلك الخاصة بالعديد من مجموعات الاختراق الأخرى: بعد اختراق الشبكة ، يتم استخدام أدوات مثل Mimikatz و PsExec لسرقة أوراق الاعتماد و "التحيز الجانبي" والاستطلاع.

عائلات فدية أخرى

وخلال الفترة قيد الاستعراض ، لوحظ أيضا استخدام عائلات التطبيقات التي يديرها الناس:

الجنة كان يتم توزيعها مباشرة من خلال الرسائل ، ولكن الآن يتم استخدامها في الهجمات التي يقودها الإنسان.
راجنارلوكر. يستخدم من قبل مجموعة استخدمت بنشاط RDP و Cobalt Strike مع أوراق اعتماد مسروقة.
MedusaLocker. ربما يتم تثبيته من خلال عدوى Trickbot الموجودة مسبقًا.
لوكبيت يتم توزيعها من قبل المشغلين الذين استخدموا أداة اختبار الاختراق CrackMapExec المتاحة للجمهور لأداء "الإزاحة الجانبية".

رد فوري على الهجمات المستمرة

نوصي بشدة أن تتحقق المؤسسات فورًا من وجود تنبيهات تتعلق بالهجمات الموصوفة وأن تمنح الأولوية للتحقيق واستعادة النظام. ما الذي يجب على المدافعين الانتباه إليه:

PowerShell, Cobalt Strike , « ».
, , Local Security Authority Subsystem Service (LSASS) , .
, USN — .

يمكن للشركات التي تستخدم Microsoft Defender Advanced Threat Protection (ATP) الرجوع إلى تقرير تحليل التهديدات للحصول على تفاصيل التنبيهات ذات الصلة وتقنيات الكشف المتقدمة. يمكن أيضًا لأولئك الذين يستخدمون خدمة Microsoft Threat Experts استخدام إشعارات الهجوم المستهدفة التي تتضمن السجل التفصيلي وتدابير الحماية الموصى بها ونصائح الاسترداد.

إذا تعرضت شبكتك للهجوم ، فاتبع الخطوات التالية على الفور لتقييم مدى الموقف. عند تحديد تأثير هذه الهجمات ، يجب ألا تعتمد فقط على مؤشرات الاختراق (IOC) ، نظرًا لأن معظم برامج الفدية المذكورة تستخدم بنية أساسية "لمرة واحدة" ، غالبًا ما يقوم مؤلفوها بتغيير أدواتهم وأنظمتهم ، وتحديد قدرات أهداف الكشف الخاصة بهم . إلى أقصى حد ممكن ، ينبغي أن تستخدم وسائل الكشف عن التعرض وتقليله تقنيات تستند إلى أنماط سلوكية شاملة. تحتاج أيضًا إلى إغلاق نقاط الضعف التي يستخدمها مجرمو الإنترنت في أقرب وقت ممكن.

تحليل نقاط النهاية وبيانات الاعتماد المهاجمة

حدد جميع بيانات الاعتماد المتوفرة في نقطة النهاية التي تمت مهاجمتها. يجب اعتبارها قابلة للوصول إلى المهاجمين ، ويجب اختراق جميع الحسابات المرتبطة بها. يرجى ملاحظة أن المهاجمين لا يمكنهم فقط نسخ بيانات اعتماد الحسابات المسجلة في جلسات تفاعلية أو جلسات RDP ، ولكن أيضًا نسخ بيانات الاعتماد المخزنة وكلمات المرور لخدمة الحسابات والمهام المجدولة ، والتي يتم تخزينها في قسم LSA Secrets التسجيل.

بالنسبة إلى نقاط النهاية المضمنة في Microsoft Defender ATP ، استخدم طرقًا متقدمة لتحديد الحسابات التي تم تسجيل الدخول فيها إلى نقاط الهجوم. للقيام بذلك ، هناك استفسار الصيد في تقرير تحليل التهديد.
Windows, , — 4624 2 10. 4 5.

اعزل النقاط الرئيسية التي تحتوي على علامات السيطرة والسيطرة أو التي أصبحت هدفًا لـ "النزوح الجانبي". حدد نقاط النهاية هذه باستخدام استعلامات البحث المتقدم أو طرق البحث المباشر الأخرى لشركات النفط العالمية ذات الصلة. عزل الأجهزة التي تستخدم Microsoft Defender ATP أو استخدام مصادر بيانات أخرى ، مثل NetFlow ، للبحث داخل SIEM أو أداة مركزية أخرى لإدارة الأحداث. ابحث عن علامات "النزوح الجانبي" من نقاط النهاية المخترقة المعروفة.

إغلاق نقاط الضعف التي يمكن الوصول إليها من الإنترنت

حدد أنظمة المحيط التي يمكن للمهاجمين استخدامها للوصول إلى شبكتك. يمكنك استكمال تحليلك باستخدام واجهة المسح العامة ، على سبيل المثال ، shodan.io . قد يهتم المتسللون بمثل هذه الأنظمة:

RDP أو أسطح المكتب الافتراضية بدون مصادقة متعددة العوامل.
أنظمة Citrix ADC مع ثغرة أمنية CVE-2019-19781.
أنظمة VPN Pulse Secure مع ثغرة CVE-2019-11510.
خوادم Microsoft SharePoint مع ثغرة أمنية CVE-2019-0604.
خوادم Microsoft Exchange مع ثغرة أمنية CVE-2020-0688.
أنظمة Zoho ManageEngine مع ثغرة CVE-2020-10189.

لتقليل ضعف مؤسسة ما ، يمكن لعملاء Microsoft Defender ATP الاستفادة من إمكانات إدارة التهديدات والضعف (TVM) لتحديد الثغرات الأمنية وترتيبها وإغلاقها في التكوين الخاطئ. يسمح TVM لمحترفي أمن تكنولوجيا المعلومات والإداريين بالتخلص من نقاط الضعف المكتشفة.

فحص وإصلاح الأجهزة المصابة بالبرامج الضارة

يتسلل العديد من المتسللين إلى الشبكات من خلال برامج تم تنفيذها بالفعل مثل Emotet و Trickbot. يتم تصنيف عائلات الأدوات هذه على أنها أحصنة طروادة مصرفية يمكنها تقديم أي حمولة ، بما في ذلك الإشارات المرجعية للبرامج الدائمة. قم بفحص وإزالة جميع الإصابات المعروفة واعتبرها نواقل هجومية محتملة ضد خصوم بشريين خطرين. تأكد من التحقق من جميع بيانات الاعتماد المفتوحة ، والأنواع الإضافية من الحمولات ، وعلامات "الإزاحة الجانبية" قبل استعادة نقاط النهاية التي تمت مهاجمتها أو تغيير كلمات المرور.

نظافة المعلومات لحماية الشبكات من برامج الفدية التي يحركها الإنسان

بينما يجد مشغلو القراصنة المزيد من الضحايا ، يجب على المدافعين تقييم المخاطر مقدمًا باستخدام جميع الأدوات المتاحة. استمر في تطبيق جميع الحلول الوقائية المثبتة - نظافة الاعتمادات والحد الأدنى من الامتيازات وجدران الحماية للمضيف - التي تمنع الهجمات التي تستغل العيوب الأمنية والامتيازات الزائدة.

يمكنك زيادة مرونة شبكتك في الاختراق وإعادة تنشيط الإشارات المرجعية للبرامج و "الإزاحة الجانبية" من خلال الإجراءات التالية:

استخدم كلمات مرور تم إنشاؤها عشوائيًا لحسابات المشرف ، على سبيل المثال ، باستخدام LAPS.
تطبيق سياسة تأمين الحساب .
. , .
C « ». TCP- 445 , .
Microsoft Defender , . .
Office, Office 365 Windows. Microsoft Secure Score , .
, .
, -:
- .
- PsExec WMI-.
- Windows (lsass.exe).

لمزيد من النصائح حول تحسين الحماية ضد برامج برامج الفدية التي يتحكم فيها الإنسان وخلق حماية أكثر موثوقية ضد الهجمات السيبرانية بشكل عام ، راجع هجمات برامج الفدية التي يديرها الإنسان: كارثة يمكن الوقاية منها .

الحماية من التهديدات من Microsoft: حماية منسقة ضد التطبيقات المعقدة والواسعة النطاق المدفوعة ببرامج الفدية التي يقودها الإنسان

أظهرت زيادة عدد الهجمات باستخدام برامج الفدية في أبريل أن المخترقين غير قلقين بشأن العواقب بسبب انقطاع خدماتهم خلال الأزمة العالمية.

تمثل الهجمات باستخدام برامج الفدية التي يتحكم فيها الإنسان مستوى جديدًا من التهديد ، لأن المهاجمين على دراية بإدارة النظام وتكوين أدوات الحماية ، حتى يتمكنوا من العثور على طريقة للاختراق بأقل مقاومة. في مواجهة عقبة ، يحاولون كسرها. وإذا لم يفلح ذلك ، فإنهم يبدون براعة في إيجاد طرق جديدة لتطوير الهجوم. لذلك ، فإن الهجمات باستخدام برامج الفدية التي يتحكم فيها الإنسان معقدة وواسعة الانتشار. لا يحدث هجومان متطابقان.

حماية Microsoft من التهديدات (MTP)يوفر دفاعًا منسقًا يساعد على منع سلسلة كاملة من الهجمات المعقدة باستخدام برامج الفدية التي يحركها الإنسان. تجمع MTP بين إمكانات خدمات أمان Microsoft 365 المختلفة لإدارة حماية نقاط النهاية والبريد الإلكتروني والحسابات والتطبيقات ومنعها واكتشافها والاستجابة لها.

باستخدام أدوات الاستخبارات والأتمتة والتكامل المدمجة ، يمكن لـ MTP حظر الهجمات والقضاء على وجود المتسللين واستعادة الموارد المهاجمة تلقائيًا. تقارن هذه الأداة وتدمج التنبيهات والتنبيهات لمساعدة المدافعين في تحديد أولويات الحوادث من حيث التحقيق والاستجابة. لدى MTP أيضًا إمكانات بحث فريدة عبر النطاقات والتي ستساعد في تحديد نمو الهجوم وفهم كيفية تعزيز الدفاع في كل حالة.

يعد Microsoft Threat Protection جزءًا من نهج الشريحة إلى السحابة، الذي يجمع بين حماية الأجهزة ونظام التشغيل والحماية السحابية. تعمل ميزات الأمان المدعومة بالأجهزة في Windows 10 ، مثل التوزيع العشوائي لتخطيط مساحة العنوان (ASLR) ، وحماية تدفق التحكم (CFG) ، وغيرها ، على زيادة مقاومة النظام الأساسي للعديد من التهديدات الخطيرة ، بما في ذلك تلك التهديدات تستغل نقاط الضعف في برنامج تشغيل kernel. تم دمج ميزات الأمان هذه بسلاسة في Microsoft Defender ATP ، الذي يوفر حماية شاملة تبدأ بجذر ثقة قوي للأجهزة. يتم تمكين هذه القيود افتراضيًا على أجهزة الكمبيوتر المزودة بـ kernel ( الكمبيوتر الشخصي الآمن ).

نواصل العمل مع عملائنا وشركائنا ومجتمع البحث لتعقب برامج الفدية التي يحركها الأشخاص والأدوات المتطورة الأخرى. في الحالات الصعبة ، يمكن للعملاء استخدام الأمر Microsoft Detection and Response (DART) للمساعدة في التحقيق والاسترداد.

الملحق: تقنيات MITER ATT & CK المكتشفة

تستخدم الهجمات باستخدام برامج الفدية المُدارة بواسطة الإنسان مجموعة واسعة من التقنيات المتاحة للمهاجمين بعد السيطرة على حسابات المجال المميزة. المدرجة أدناه هي التقنيات التي تم استخدامها على نطاق واسع في الهجمات ضد الرعاية الصحية والمنظمات الحيوية في أبريل 2020.

الوصول إلى أوراق الاعتماد:

تفريغ أوراق الاعتماد T1003 | استخدام LaZagne و Mimikatz و LsaSecretsView وأدوات جمع بيانات الاعتماد الأخرى ، بالإضافة إلى استخدام الثغرات CVE-2019-11510 في نقاط النهاية.

حضور طويل الأمد:

T1084 اشتراك حدث أجهزة إدارة Windows | اشترك في أحداث WMI.
T1136 إنشاء حساب | إنشاء حسابات RDP جديدة.

الإدارة والرقابة:

T1043 المنفذ الشائع الاستخدام | باستخدام المنفذ 443.

دراسة:

T1033 مالك النظام / اكتشاف المستخدم | فرق مختلفة.
اكتشاف حساب T1087 | استعلامات LDAP و AD ، بالإضافة إلى الأوامر الأخرى.
اكتشاف النظام عن بعد T1018 | بينجز ، qwinsta والأدوات والأوامر الأخرى.
اكتشاف الثقة بالنطاق T1482 | تعداد ثقة المجال مع Nltest.

إعدام:

تنفيذ خدمة T1035 | خدمة مسجلة لتشغيل أوامر CMD- (مثل ComSpec) و PowerShell.

"النزوح الأفقي":

بروتوكول سطح المكتب البعيد T1076 | استخدم RDP للوصول إلى أجهزة أخرى على الشبكة.
T1105 نسخ الملف عن بعد | النزوح الجانبي باستخدام WMI و PsExec.

تجنب معدات الحماية:

إزالة مؤشر T1070 على المضيف | مسح سجلات الأحداث باستخدام wevutil ، وحذف سجل USN باستخدام fsutil ، وإزالة المساحة غير المستخدمة على محركات الأقراص باستخدام cipher.exe.
T1089 تعطيل أدوات الأمن | إيقاف أو اختراق برامج مكافحة الفيروسات والحماية الأخرى باستخدام ProcessHacker ، وكذلك استخدام برامج تشغيل البرامج الضعيفة.

تأثير:

توقف خدمة T1489 | إيقاف الخدمات قبل التشفير.
T1486 تشفير البيانات من أجل التأثير | تشفير الابتزاز.

كيفية تقليل المخاطر المرتبطة ببرامج الفدية