Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

3 мин. чтения

Кратко

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Аудио-сводка

0:00--:--
Нужна помощь с Security?Поговорить с экспертом

Введение

Последний разбор инцидента от Microsoft Defender показывает растущую тактику ransomware: злоумышленники используют Group Policy Objects (GPO), чтобы отключать средства безопасности и массово распространять вредоносные нагрузки. Для ИТ- и security-команд это важно, потому что GPO — доверенный административный механизм в большинстве Windows-сред, что делает его привлекательным вектором атаки для ransomware, управляемого человеком.

Что произошло

Microsoft расследовала атаку на крупное образовательное учреждение с тысячами устройств, 33 серверами, 11 контроллерами домена и 2 серверами Entra Connect. Злоумышленник уже получил доступ Domain Admin и прошёл через несколько знакомых этапов:

  • Разведка: перечисление Active Directory и brute-force-активность
  • Доступ к учётным данным: Kerberoasting и активность NTDS dump
  • Боковое перемещение: использование высокопривилегированных учётных данных и создание локальных учётных записей для закрепления
  • Попытка воздействия: вмешательство через GPO и развёртывание ransomware

Как работала атака через GPO

Злоумышленник использовал GPO в два этапа:

  • Этап 1: Вмешательство в безопасность
    Вредоносная GPO пыталась отключить ключевые механизмы защиты Defender, включая защиту в реальном времени и поведенческий мониторинг.

  • Этап 2: Распространение ransomware
    Примерно через 10 минут злоумышленник создал ещё одну GPO, которая разворачивала scheduled task для копирования и запуска файлов ransomware из SYSVOL.

Это эффективно, потому что злоумышленнику достаточно настроить политику один раз; устройства, присоединённые к домену, выполняют остальное автоматически.

Как Defender это остановил

Predictive shielding в Defender распознал вмешательство в GPO как вероятный предвестник ransomware и запустил GPO hardening до того, как GPO с ransomware успела широко распространиться.

Ключевые результаты из разбора инцидента:

  • Ноль устройств было зашифровано через путь GPO
  • Около 97% попыток шифрования было заблокировано в целом
  • 700 устройств получили защиту GPO hardening
  • Было нарушено более дюжины скомпрометированных сущностей
  • Были заблокированы тысячи попыток аутентификации и доступа со стороны атакующего

Почему это важно для администраторов

Этот инцидент показывает, что операторы ransomware всё чаще злоупотребляют стандартными инструментами ИТ-администрирования, а не полагаются только на очевидные методы доставки malware. GPO, scheduled tasks, SMB и инструменты удалённого администрирования — всё это легитимные операционные механизмы, поэтому обнаружить злоупотребление без продвинутых средств обнаружения и реагирования сложнее.

Для администраторов вывод очевиден: компрометация identity в сочетании со злоупотреблением GPO может быстро перерасти в инцидент уровня всего предприятия.

Рекомендуемые следующие шаги

  • Проверьте подверженность привилегированных учётных записей, особенно использование Domain Admin
  • Аудируйте недавние изменения GPO и развёртывания scheduled tasks
  • Ищите признаки Kerberoasting, доступа к NTDS и необычного выполнения через SMB
  • Убедитесь, что возможности attack disruption в Microsoft Defender включены
  • Проверьте, что tamper protection в Defender и покрытие endpoint включены на всех устройствах, присоединённых к домену
  • Мониторьте SYSVOL на предмет неожиданных скриптов, исполняемых файлов и DLL

Организациям, использующим Microsoft Defender, стоит воспринимать этот случай как напоминание о необходимости усиливать защиту identity, отслеживать административные инструменты и готовиться к ransomware-кампаниям, злоупотребляющим встроенными корпоративными средствами управления.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
Microsoft DefenderransomwareGPOpredictive shieldingattack disruption

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.

Security

Фишинг в налоговый сезон: Microsoft о росте атак

Microsoft предупреждает о росте фишинговых и вредоносных атак в налоговый сезон: злоумышленники маскируются под бухгалтеров и налоговые уведомления, используют QR-коды, облачные файлы, многоэтапные редиректы и kits вроде Energy365 и SneakyLog для кражи учетных данных. Это важно для компаний и ИБ-команд, потому что такие кампании становятся более персонализированными и лучше обходят традиционные средства защиты, повышая риск компрометации Microsoft 365 и запуска вредоносного ПО.