Security

Defender predictive shielding zaustavlja GPO ransomware

3 min čitanja

Sažetak

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Najnovija Defender analiza slučaja kompanije Microsoft ističe rastuću ransomware taktiku: zloupotrebu Group Policy Object (GPO) mehanizama za onemogućavanje bezbednosnih alata i distribuciju payload-a u velikom obimu. Za IT i bezbednosne timove ovo je važno zato što su GPO-ovi pouzdani administrativni mehanizmi u većini Windows okruženja, što ih čini privlačnim putem napada za human-operated ransomware.

Šta se dogodilo

Microsoft je istraživao napad na veliku obrazovnu instituciju sa hiljadama uređaja, 33 servera, 11 domain controller-a i 2 Entra Connect servera. Napadač je već imao Domain Admin pristup i prošao je kroz nekoliko poznatih faza:

  • Reconnaissance: enumeracija Active Directory okruženja i brute-force aktivnosti
  • Credential access: Kerberoasting i NTDS dump aktivnosti
  • Lateral movement: korišćenje naloga sa visokim privilegijama i kreiranje lokalnih naloga radi postojanosti
  • Impact attempt: GPO-based menjanje podešavanja i isporuka ransomware-a

Kako je GPO napad funkcionisao

Napadač je koristio GPO-ove u dve faze:

  • Faza 1: Manipulacija bezbednošću
    Zlonamerni GPO je pokušao da onemogući ključne Defender zaštite, uključujući real-time protection i behavioral monitoring.

  • Faza 2: Distribucija ransomware-a
    Oko 10 minuta kasnije, napadač je kreirao drugi GPO koji je isporučio scheduled task za kopiranje i pokretanje ransomware fajlova iz SYSVOL lokacije.

Ovo je efikasno zato što napadač treba da podesi politiku samo jednom; uređaji pridruženi domenu automatski odrađuju ostatak.

Kako ga je Defender zaustavio

Defender predictive shielding je prepoznao GPO manipulaciju kao verovatnu prethodnicu ransomware napada i aktivirao GPO hardening pre nego što je ransomware GPO mogao da se široko proširi.

Ključni ishodi iz analize slučaja:

  • Nijedan uređaj nije šifrovan putem GPO kanala
  • Ukupno je blokirano oko 97% pokušaja enkripcije
  • 700 uređaja je dobilo GPO hardening zaštitu
  • Prekinuto je više od deset kompromitovanih entiteta
  • Blokirane su hiljade pokušaja autentifikacije i pristupa od strane napadača

Zašto je ovo važno za administratore

Ovaj incident pokazuje da ransomware operateri sve češće zloupotrebljavaju standardne IT alate za upravljanje, umesto da se oslanjaju samo na očigledne metode isporuke malware-a. GPO-ovi, scheduled task-ovi, SMB i remote administration alati su legitimni operativni mehanizmi, što zloupotrebu čini težom za uočavanje bez napredne detekcije i odgovora.

Za administratore, pouka je jasna: kompromitacija identiteta uz zloupotrebu GPO-a može brzo prerasti u incident na nivou cele organizacije.

Preporučeni sledeći koraci

  • Pregledajte izloženost privilegovanih naloga, posebno korišćenje Domain Admin naloga
  • Revidirajte nedavne GPO izmene i isporuke scheduled task-ova
  • Istražite znake Kerberoasting aktivnosti, NTDS pristupa i neuobičajenog izvršavanja putem SMB-a
  • Uverite se da su Microsoft Defender attack disruption mogućnosti omogućene
  • Proverite Defender tamper protection i endpoint pokrivenost na svim uređajima pridruženim domenu
  • Nadgledajte SYSVOL zbog neočekivanih skripti, izvršnih fajlova i DLL-ova

Organizacije koje koriste Microsoft Defender treba da posmatraju ovaj slučaj kao podsetnik da ojačaju identitete, prate administrativne alate i pripreme se za ransomware kampanje koje zloupotrebljavaju izvorne enterprise kontrole.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
Microsoft DefenderransomwareGPOpredictive shieldingattack disruption

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.

Security

Microsoft phishing napadi u poreskoj sezoni 2025

Microsoft upozorava na porast sofisticiranih phishing i malware kampanja tokom poreske sezone, koje koriste teme kao što su poreske prijave, W-2 i 1099 dokumenta da bi ukrale akreditive i zaobišle klasičnu detekciju. Ovo je važno jer napadi sve češće koriste QR kodove, cloud-hostovane fajlove i legitimne RMM alate, pa organizacije moraju pojačati obuku korisnika i zaštitu identiteta pre nego što kompromitacija preraste u ozbiljniji incident.