使用 Azure Security Center 檢測最新的勒索軟件威脅(又名 Bad Rabbit)

撰 / Tim Burrell, Principal Security Engineering Manager, Microsoft Threat Intelligence Center

 

Windows Defender 團隊最近用新的勒索軟件威脅 Ransom:Win32 / Tibbar(也被稱為 Bad Rabbit)更新了惡意軟件百科全書。 此更新包含有關緩解新威脅的全面指導。 微軟反惡意軟件解決方案(包括 Windows Defender Antivirus 和 Azure 服務和虛擬機的 Microsoft 反惡意軟件)進行了更新,以檢測並防範此威脅。

本文總結了您可以採取的其他措施,以通過 Azure 安全中心防止和檢測在 Azure 中運行的工作負載遭遇這種威脅。 獲取有關啟用 Azure 安全中心的更多信息。

 

預防

Azure 安全中心會掃描您的虛擬機和服務器以評估端點保護狀態。 計算後確定那些沒有受到充分保護的議題,將同時被給予相關的建議。

 

Azure Security Center

 

深入“Compute”窗格或概覽建議窗格中會顯示更多詳細信息,包括 Endpoint Protection 安裝建議,如下所示:

 

Compute

 

點擊此按鈕會導出一個對話框,允許您選擇和安裝端點保護解決方案,包括 Microsoft 自己的Azure 服務和虛擬機的反惡意軟件解決方案,這些將有助於防範此類勒索軟件威脅。

 

Select Endpoint Protection

 

Azure安全中心免費級客戶可以使用這些建議和相關的緩解措施。

 

偵測

選擇加入 Standard-Tier 的 Azure 安全中心客戶也可以從與 Ransom:Win32 / Tibbar.A(Bad Rabbit)勒索軟件相關的通用和特定檢測中受益。 這些警報通過下面突出顯示的檢測窗格進行訪問,並且需要 Azure 安全中心標準層。

 

Security Center - Overview

 

例如,與勒索軟件相關的通用警報包括:

  • 事件日誌清除哪些勒索軟件(如  Bad Rabbit)的執行
  • 刪除卷影副本以防止客戶恢復數據。 其中一個例子如下所示:

 

All file shadow copies have been detected

 

此外,Azure 安全中心還通過與 Bad Rabbit 相關的特定 IOC 更新了勒索軟件檢測。

 

Possible ransomware evidence detected

 

您應該遵循警報中詳述的補救步驟,即:

  1. 運行完整的反惡意軟件,掃描並確認威脅已被移除。
  2. 安裝並運行 Microsoft 安全掃描程序
  3. 在網絡中的其他主機上預先執行這些操作。

儘管警報與特定主機相關,但複雜的勒索軟件會嘗試傳播到其他附近的機器。 您使用這些補救步驟來保護網絡中的所有主機,而不僅僅是警報中標識的主機,這一點很重要。