Microsoft 365 Defender 提供對付網路攻擊的可見性和解決方案

Microsoft 365 Defender

為了向安全團隊提供對付網路攻擊的可見性和解決方案,Microsoft 365 Defender (過去通稱為Microsoft threat protection , MTP)連結了跨多個網域和解決方案(包括端點、身份、資料和應用程式)的威脅信號。這種全面性的可見性,使 Microsoft 365 Defender 能夠在 Microsoft 365 資料中進行預防、偵測和回應。

隨著威脅變得更複雜且更持久,警示次數增加,安全性小組不堪負荷。Microsoft 365 Defender 是 Microsoft XDR 解決方案的一部分,利用 Microsoft 365 安全性組合來自動分析跨網域的威脅資料,在單一儀表板中建構每個攻擊的全貌。有了這個廣泛且深入明確的防禦者,現在可專注於重大威脅並搜捕精心策劃的缺口,透過信任Microsoft 365 Defender 強大的自動化功能,隨時隨地偵測並阻止攻擊鏈的攻擊,並將組織恢復到安全狀態。

微軟已將 Defender for Office 365 安全連結(Safe Links)防護擴展到 Microsoft Teams,以保護用戶免受基於URL 的惡意網路釣魚攻擊。

所有Teams用戶都能透過安全連結防護機制確保對話及頻道中連結的安全,使用 Microsoft Defender for Office 365 的企業組織,可以進一步保護 Microsoft Teams 用戶免受通常透過武器化 URL 精心打造之惡意網路釣魚攻擊的危害,」微軟表示。「Office 365 Defender 之中的安全連結會在點擊時掃描 URL,以確保用戶受到Microsoft Defender 最新情報的保護。」所有 Teams 用戶皆可使用新的安全連結防護機制,它能有效確保對話、群組聊天和 Teams 頻道中連結的安全性。

資安升級

🔹辨識橫向移動

攻擊者透過橫向移動提升層級,或從被入侵網路中的特定電腦竊取資訊。橫向移動通常涉及方式是利用合法管理工具來操作管理合法電腦,包括 Server Message Block (SMB) 、 Windows Management Instrumentation (WMI)、Windows Remote Management (WinRM) 和 Remote Desktop Protocol (RDP) 等應用程式。攻擊者針對這些在維護網路功能方面有合法用途的技術,透過結合大量機會與大量預期遙測數據,提供實現其目標的路徑。最近,我們觀察到攻擊者執行橫向移動,然後使用上述的 WMI 或 SMB 將勒索軟體,或資料抹除惡意軟體配置到網路中的多台電腦。

PARINACOTA 集團最近發動的一次襲擊,因部署 Wadhrama 勒索軟體的人為攻擊而著名,值得注意的是,當中使用多種方法進行橫向移動。在透過 RDP 進行暴力密碼破解,並獲得對網路伺服器的初始存取權後,攻擊者透過掃描 port 3389 (RDP)、445 (SMB) 和 22 (SSH) 來搜尋網路中其他易受攻擊的電腦。

攻擊者下載並使用Hydra,透過SMB和SSH來暴力破解目標。此外,他們還使用透過Mimikatz 憑證傾倒竊取的認證,從遠端桌面登錄到多個伺服器。攻擊者在他們能夠存取的其他電腦上,都執行相同的行動、憑證傾倒和搜尋有價值的資訊。

值得注意的是,攻擊者對未啟用遠端桌面的伺服器特別感興趣。他們將 WMI 與 PsExec 配合使用,連接伺服器上的遠端桌面連接,並使用netsh防止防火牆中port 3389上封鎖。這讓攻擊者可以通過 RDP 連接到伺服器。

他們最終使用此伺服器,將勒索軟體部署到組織一大部分的伺服器基礎結構。這次攻擊是人為操作的勒索軟體行動的一個例子,它削弱了組織的功能,也顯示偵測和減少橫向移動的重要性。

 

🔹以概率推測橫向移動的方法

若要自動將警報和橫向移動的證據與不同的事件連結,需要先了解攻擊的整個範圍,並建立攻擊者跨越網路移動的活動連結。在複雜網路中中要區分惡意攻擊者活動,既具有挑戰性又耗時。無法獲得所有相關警報、資產、調查和證據的全視圖,可能會限制防禦者為緩解和完全解決攻擊的動作。

Microsoft 365 Defender 使用其獨特的跨域可見性,和內建自動化功能來偵測橫向移動。用來偵測橫向移動的資料驅動方法,包含了解和統計量化作為攻擊鏈一部份的行為。舉例來說,例如,認證盜竊、與其他裝置的遠端連接,以及進一步的預期外或惡意的活動。

動態概率模型能夠使用新資訊,隨時間進行自我學習,在給定相關信號的情況下,量化觀察橫向移動的可能性。這些信號可以包括端點之間透過特定埠連接的網路連接頻率、可疑檔案以及在端點上執行的過程。多個行為模型透過連結與攻擊相關的特定行為,為攻擊鏈的不同方面進行編碼。這些模型與異常偵測相結合,可同時發現已知和未知的攻擊。

橫向移動的證據可以使用圖形方式建模,這包含在正確的時間軸中建造適當的節點和連結。圖 2 呈現了攻擊者如何在網路中進行橫向移動。

繪製攻擊圖的目的是發現具有足夠可信度的相關子圖,以進行進一步調查。建立可以準確計算攻擊概率的行為模型,對於確保測量的可信度和所有相關事件極為重要。

雲端安全性管理

Comments are closed, but trackbacks and pingbacks are open.