Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

3 min czytania

Podsumowanie

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Podsumowanie audio

0:00--:--
Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

{{## Wprowadzenie Najnowsze studium przypadku Defender od Microsoft pokazuje rosnącą taktykę ransomware: wykorzystywanie Group Policy Objects (GPO) do wyłączania narzędzi zabezpieczających i dystrybucji ładunków na dużą skalę. Dla zespołów IT i security ma to znaczenie, ponieważ GPO są zaufanym mechanizmem administracyjnym w większości środowisk Windows, co czyni je atrakcyjną ścieżką ataku dla ransomware obsługiwanego przez człowieka.

Co się wydarzyło

Microsoft zbadał atak na dużą instytucję edukacyjną dysponującą tysiącami urządzeń, 33 serwerami, 11 kontrolerami domeny i 2 serwerami Entra Connect. Atakujący uzyskał już dostęp Domain Admin i przeszedł przez kilka znanych etapów:

  • Rozpoznanie: enumeracja Active Directory i aktywność brute-force
  • Dostęp do poświadczeń: aktywność Kerberoasting i zrzut NTDS
  • Ruch lateralny: użycie poświadczeń o wysokich uprawnieniach i tworzenie kont lokalnych w celu utrzymania dostępu
  • Próba wpływu: manipulacja oparta na GPO i wdrożenie ransomware

Jak działał atak z użyciem GPO

Atakujący wykorzystał GPO w dwóch etapach:

  • Etap 1: Manipulacja zabezpieczeniami
    Złośliwy GPO próbował wyłączyć kluczowe mechanizmy ochronne Defender, w tym ochronę w czasie rzeczywistym i monitorowanie behawioralne.

  • Etap 2: Dystrybucja ransomware
    Około 10 minut później atakujący utworzył kolejny GPO, który wdrażał zaplanowane zadanie kopiujące i uruchamiające pliki ransomware z SYSVOL.

Jest to skuteczne, ponieważ atakujący musi ustawić politykę tylko raz; urządzenia dołączone do domeny wykonują resztę automatycznie.

Jak Defender to zatrzymał

Predictive shielding w Defender rozpoznał manipulację GPO jako prawdopodobny zwiastun ransomware i uruchomił GPO hardening, zanim ransomware rozprzestrzeniane przez GPO mogło objąć szerszy zakres urządzeń.

Kluczowe wyniki ze studium przypadku:

  • Zero urządzeń zaszyfrowanych przez ścieżkę GPO
  • Łącznie zablokowano około 97% prób szyfrowania
  • 700 urządzeń otrzymało ochronę GPO hardening
  • Zakłócono działanie ponad tuzina przejętych encji
  • Zablokowano tysiące prób uwierzytelnienia i uzyskania dostępu przez atakującego

Dlaczego to ważne dla administratorów

Ten incydent pokazuje, że operatorzy ransomware coraz częściej nadużywają standardowych narzędzi do zarządzania IT, zamiast polegać wyłącznie na oczywistych metodach dostarczania malware. GPO, zaplanowane zadania, SMB i narzędzia do zdalnej administracji to wszystko legalne mechanizmy operacyjne, co utrudnia wykrycie nadużyć bez zaawansowanych mechanizmów detekcji i reagowania.

Dla administratorów wniosek jest jasny: przejęcie tożsamości połączone z nadużyciem GPO może szybko przerodzić się w incydent obejmujący całe przedsiębiorstwo.

Zalecane kolejne kroki

  • Przejrzyj ekspozycję kont uprzywilejowanych, zwłaszcza użycie Domain Admin
  • Przeprowadź audyt ostatnich zmian GPO i wdrożeń zaplanowanych zadań
  • Zbadaj oznaki Kerberoasting, dostępu do NTDS i nietypowego uruchamiania opartego na SMB
  • Upewnij się, że możliwości attack disruption w Microsoft Defender są włączone
  • Zweryfikuj tamper protection w Defender oraz pokrycie endpointów na wszystkich urządzeniach dołączonych do domeny
  • Monitoruj SYSVOL pod kątem nieoczekiwanych skryptów, plików wykonywalnych i bibliotek DLL

Organizacje korzystające z Microsoft Defender powinny potraktować ten przypadek jako przypomnienie, by wzmacniać ochronę tożsamości, monitorować narzędzia administracyjne i przygotować się na kampanie ransomware nadużywające natywnych mechanizmów kontroli przedsiębiorstwa.}}

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
Microsoft DefenderransomwareGPOpredictive shieldingattack disruption

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.

Security

Phishing podatkowy: Microsoft ostrzega przed atakami

Microsoft ostrzega przed wzrostem zaawansowanych kampanii phishingowych i malware wykorzystujących sezon podatkowy, w tym fałszywych wiadomości o dokumentach podatkowych, zwrotach i komunikacji od księgowych. To ważne, ponieważ ataki są coraz bardziej ukierunkowane i wykorzystują kody QR, wieloetapowe przekierowania, chmurowe pliki oraz legalne narzędzia administracyjne, co utrudnia ich wykrycie i zwiększa ryzyko kradzieży poświadczeń oraz infekcji firmowych systemów.