突然の情報セキュリティインシデントは、企業や組織を驚かせます。司法捜査機関やインシデント対応チームの支援を容易にし、インシデントの全体像を明らかにし、企業の損失を軽減するために、専門家は以下の情報を冷静に収集する必要があると示唆しています。 

## 情報セキュリティインシデント/サイバー攻撃インシデントに対応するために必要な8つの重要情報

1. 復元された実行ファイル（exe）
2. 暗号化されたファイルとランサムノート
3. メモリダンプと感染したハードドライブのイメージ
4. 悪意あるプログラムのサンプル: ランサムウェア、バックドア、ハッキング ツールなど。
5. ログ (Windows イベント ログ、ファイアウォール ログ、Exchange ログなど)
6. システム上で実行されたPowershell スクリプト
7. 侵害時に AD に追加されたマシンまたはアカウント
8. 恐喝の詳細：攻撃者が使用した電子メール、恐喝金額、仮想通貨ウォレットのアドレス、攻撃者との交渉過程の記録など

 

堅実な技術的バックグラウンドと最前線での専門知識を基に、TeamT5は徹底した調査と現実世界のサイバー攻撃者に対しての対処を提供します。攻撃者の侵入攻撃と、インシデントの影響と技術的原因を特定調査し、クライアントの復旧と修正・緩和を支えるための解決策や回避策を支援します。


>情報セキュリティインシデントの処理と対応が必要な場合は、相談フォームにご記入ください:
https://teamt5.org/jp/contact-us/

 
 

*画像のソース: [Pixabay](https://pixabay.com/)

情報セキュリティインシデント/サイバー攻撃インシデントに対応するために必要な8つの重要情報

Cyber incidents often happen suddenly and catch enterprises by surprise. 

Experts suggest that the following information should be collected calmly in order to let the assistance of judicial investigation units and incident response teams clarify the overall situation of the incident. By doing so, enterprises might be able to reduce losses after cyber incidents.


## 8 Key Info for Dealing with Cyber Attacks
1. Restored executable file (exe).
2. Encrypted file and ransom note.
3. Memory dump and infected hard drive Image.
4. Malicious program samples: such as: ransomware, backdoors, hacking tools, etc.
5. Log (Windows event log, firewall log, Exchange log…)
6. There is a Powershell script executed on the system.
7. Machines or accounts that were added to AD at the time of the breach.
8. Extortion details: such as the email used by the attacker, the amount of extortion, the address of the virtual currency wallet, and the record of the negotiation process with the attacker.

 

With solid technical background and frontline expertise, TeamT5 provides an in-depth investigation and response to real-world cyber-attacks. We identify and research the intruder attacks, the impact and technical cause of the incidents, and recommend solutions or workarounds to assist our clients in recovery and remediation.

 

>If you have needs for incident response, please contact us: [https://teamt5.org/en/contact-us/](https://teamt5.org/en/contact-us/?utm_source=blog&utm_medium=website)

 
 
*Image courtesy: [Pixabay](https://pixabay.com/)

[Incident Response] 8 Key Info for Dealing with Cyber Attacks

突發的資安事件常使企組織措手不及，專家建議須冷靜收集下列資料，以利司法調查單位、事件處理團隊協助，釐清事件全貌，並降低企業損失。

## 處理資安事件/網路攻擊事件所需的8種關鍵資料
1. 還原的執行檔(exe)
2. 被加密的檔案與勒索說明文件(ransom note)
3. 記憶體傾印檔(memory dump) 與受感染的硬碟 Image
4. 惡意程式樣本: 如: 勒索軟體、後門、駭客工具等
5. Log (Windows event log, 防火牆 log, Exchange log……)
6. 有在系統執行過的 Powershell script
7. 在入侵時間被新增到 AD 的機器或帳號
8. 勒索細節: 如攻擊者使用的 email、勒索金額、虛擬貨幣錢包地址、與攻擊者的交涉過程紀錄

 
 


TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。

>若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: [https://teamt5.org/tw/contact-us/](https://teamt5.org/tw/contact-us/?utm_source=blog&utm_medium=website)

 
 
 

*首圖來源: [Pixabay](https://pixabay.com/)

【資安事件處理實務】處理資安事件/網路攻擊事件所需的8種關鍵資料 

ランサムウェアは、近年の主要なサイバー脅威の一つです。企業や様々な組織を標的にしています。多発する事件は日常業務に影響を与えるだけでなく、多大な損失をもたらします。


ランサムウェアインシデントは、企業や組織が損害を制御し、できるだけ早く通常の運用に戻ることを効果的に支援する正確かつ適切な対応手順を通じて対処する必要があります。

ランサムウェア インシデントへの対応における 9 つの主要な手順を以下に示します。

## ステップ 1: 迅速な隔離
- どのシステムがランサムウェアに感染しているかを特定し、直ちに隔離します。
- ネットワークから切断できないマシンがある場合は、一時的にシャットダウンしてください。
- グループ ポリシー オブジェクト (GPO) 設定では 拡散をブロックするために、[すべての接続をブロックする] を一時的に選択します。


## ステップ 2: トリアージ
- 事業継続計画に基づく復旧。
- さまざまな状況に応じて、対応する対処を実行します。
- もし最悪のシナリオ（デバイスの故障）があれば、可能な限り回復させます。
- 中等度から重度の場合：優先的回復。
- 軽度の場合：特別な対処は必要ありません。

## ステップ 3: 支援を求める
- まず状況を理解して文書化し、社内および社外のチームに連絡して正常な状態に早く戻るようにします。
- 企業組織の性質に応じて管轄当局に通知し、司法調査部門に連絡します。また企業組織が関連保険を購入している場合は、保険部門に連絡します。


## ステップ 4: 証拠の収集
- 主要なマシン (サーバーなど) のメモリ ダンプ、イメージ、ログを収集します。
- 疑わしいコマンドと IP をフィルタリングして収集する

##ステップ 5: レコードを検索する
- ウイルス対策ソフトウェア、エンドポイント保護ツール (EDR)、侵入防御ツール (IPS) などのインベントリを作成し、初期の攻撃の兆候を探します。

## ステップ 6: 汎用ホストの対応
- ランサムウェアによって暗号化されていないホスト、またはランサムウェアによって暗号化されていてもまだ暗号化されていないホストがまだある場合は、まずネットワークから切断します。 企業がランサムウェアの感染プロセスを解明し、悪意のあるプログラムを削除した後、ホストをインターネットに接続します。
- 元のウイルス対策スキャン ツールとは別のウイルス対策スキャン ツールを使用し、(例えば)Microsoft Safety Scanner などを使用してシステムの状態を再度確認します。

## ステップ 7: ドメインコントロールの対処
- すべてのドメイン管理者のパスワードを変更する。
- Krbtgt パスワードを 2 回変更します (変更間隔は 10 時間)
- ドメイン管理者およびその他の高い特権グループの下に不明なアカウントが追加されているかどうかを確認します。

## ステップ 8: バックアップと復元
- オフラインバックアップからデータを復元する。
- サービスの復旧には段階的なアプローチを採用し、重要なサービスから始めて完全な復旧まで継続します。
- 残りのデータをバックアップし、システムを再構築します。


##ステップ 9: ランサムウェアがどのファミリーに属しているかを調べる
- 暗号化されたファイルのファイル拡張子とランサムノートによって、どのランサムウェア ファミリが攻撃されているかを特定します。
-これを使用して、対応する復号化ツールを見つけます 。(ただし、ツールが見つかる可能性は低い)
- ランサムウェア ファミリの攻撃が他の部門によってレポートやニュースに記載されている場合、そのグループの通常の侵入方法とソースを知ることができます。


 
 
>TeamT5 チームは、長年にわたりハッカー グループの侵入行動の研究と分析を行っており、国内外の第一線の情報セキュリティ インシデントの処理において豊富な経験を持っています。 侵入者の攻撃、インシデントの影響と技術的要因を特定、調査し、クライアントが回復と修復するための解決策と回避策を提案します。
>
>情報セキュリティインシデントの処理と対応が必要な場合は、相談フォームにご記入ください: [https://teamt5.org/jp/contact-us/](https://teamt5.org/jp/contact-us/?utm_source=blog&utm_medium=website)

ランサムウェア インシデントに対する対応を行うための重要な9つのステップ

Ransomware is one of the major cyber threats in recent years. Ransomware targets enterprises and various organizations. Frequent incidents not only affect the daily operations of enterprises, but also cause huge losses.

Ransomware incidents should be handled through precise and appropriate response steps that will effectively assist enterprises and organizations in controlling damage and recovering back to normal operations as soon as possible.

The 9 key steps in the response to ransomware incidents are listed below.

## Step 1: Quick Quarantine
- Determine which systems are infected with ransomware and quarantine them immediately.
- If there are machines that cannot be disconnected from the network, temporarily shut them down.
- In the Group Policy Object (GPO) setting, temporarily select "Block all connections" to block the spread

##Step 2: Triage
- Restoration according to the Business Continuity Plan
- According to different situations, carry out corresponding treatment:
 - If it is the worst scenario (dead device): recover as much as possible
 - If it is moderate to severe: Priority recovery
 - If it is mild: no special treatment

## Step 3: Ask for assistance
- Initially understand and document the situation, contact internal and external teams to expedite return to normalcy
- Notify the competent authority and contact the judicial investigation unit according to the nature of the enterprise organization.If the enterprise organization has purchased relevant insurance, contact the insurance unit

## Step 4: Evidence collection
- Collect memory dump, image, and logs for key machines (such as servers)
- Filter and collect suspicious commands and IP

##Step 5: Find records
- Inventory of anti-virus software, endpoint protection tools (EDR), intrusion prevention tools (IPS), etc., trying to find signs of early attacks

##Step 6: Handling general hosts
- If there are still hosts that have not been encrypted by ransomware, or hosts that have been encrypted by ransomware but have not yet been encrypted, disconnect it/them from the network immediately. After the company has clarified the infection process of the ransomware and removed the malicious programs, the host computer can be reconnected to the Internet.
- Use a different antivirus scan tool from the original one, and then check the system status again by using, e.g. Microsoft Safety Scanner, etc.

##Step 7: Handle Domain Control
- Change the passwords for all domain administrators
- Change the Krbtgt password twice (change it a second time in another 10 hours)
- Check whether there are unknown accounts added under Domain administrators and other high-privilege groups

##Step 8: Backup and Restore
- Restore data from offline backup
- Take a phased approach to service restoration, starting with essential services. Continue the process until data fully restored
- Back up the remaining data and rebuild the system

##Step 9: Find out which ransomware family it belongs to
- Find out which ransomware family it belongs to by checking the file extensions and the ransom note 
- Use this to find the corresponding decryption tool (but the chance of finding the tool is low)
- If the ransomware family has been mentioned before on reports or news by other units, we can get additional information on the intrusion methods and perhaps sources on relating attacker groups

 
 

>With solid technical background and frontline expertise, TeamT5 provides an in-depth investigation and response to real-world cyber-attacks. We identify and research the intruder attacks, the impacts and technical causes of the incidents, and recommend solutions or workarounds to assist our clients in recovery and remediation.
>
>If you have needs for incident response, please contact us: [https://teamt5.org/en/contact-us/](https://teamt5.org/en/contact-us/?utm_source=blog&utm_medium=website)

 
 
*Image courtesy: [Unsplash](https://unsplash.com/)

[Incident Response] 9 Key Steps to Respond to the Ransomware Incident

勒索軟體(ransomware，又稱勒索病毒) 是近年來重大網路威脅之一，勒索軟體鎖定企業和各類組織進行攻擊，受害事件頻傳，不僅影響企業日常營運，更造成鉅額損失。

透過精準、合宜的應變步驟，以關鍵9步驟應變、處理勒索軟體事件，將可有效協助企業、組織有效控制損害，盡早恢復正常營運。

勒索軟體事件應變處理的關鍵9步驟，詳列如下。


##步驟1: 快速隔離
- 判定有那些系統被勒索軟體感染，並立刻進行隔離。
- 如果有不能施以斷網處置的機器，就將其暫時關機。
- 暫時透過 Group Policy Object(GPO) 設定，選擇 "Block all connections”，阻擋擴散

##步驟2: 檢傷分類
- 依據企業持續營運計畫(Business Continuity Plan)，進行復原
- 依據不同狀況，進行相對應的處置:
 - 若為死亡狀態: 盡可能復原
 - 若為中重症: 優先恢復
 - 若為輕症: 先不進行特別處理

##步驟3: 尋求協助
- 初步了解情況並記錄，聯繫內外部團隊，以加快恢復正常狀態
- 依企業組織的性質通報主管機關、聯繫司法調查單位；若企業組織有投保相關保險，則聯繫保險單位

##步驟4: 證據收集
- 針對重點機器(如: 伺服器)進行 Memory dump、Image、Log 的收集
- 過濾及收集可疑的指令、IP

##步驟5: 找尋紀錄
- 清查防毒軟體、端點防護工具(EDR)、入侵防護工具(IPS)等，試圖找到初期攻擊的跡象

##步驟6: 處理一般主機
- 若尚有未被勒索軟體加密的主機，或是勒索軟體進行加密、但尚未完成加密的主機，先進行斷網。待企業釐清勒索軟體的感染流程、移除惡意程式後，再-將主機連網。
- 使用不同於原始的防毒掃描工具，再清查一次系統狀況，如使用 Microsoft Safety Scanner。

##步驟7: 處理 Domain Control
- 將 Domain 管理員的密碼皆進行密碼更換
- 將 Krbtgt 密碼更改兩次 (兩次更改間隔10小時)
- 清查 Domain 管理員及其他高權限 Group 底下是否有被新增未知帳號

##步驟8: 備份還原
- 從離線備份，還原資料
- 採取分階段，進行服務復原，從必要服務開始進行恢復，直到全部恢復
- 備份剩餘資料，進行系統重建

##步驟9: 尋找勒索軟體所屬家族 
- 透過加密文件的副檔名、勒索文件，尋找遭受哪個勒索體家族攻擊
- 藉此尋找對應的解密工具 (但找到該工具的機率低)
- 如果該勒索軟體家族的攻擊，有經其他單位寫成報告或新聞，可以知道該族群慣用的入侵手法、來源

 
 

>TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。

>若您有資安事件處理、應變的需求，歡迎填寫諮詢表單: [https://teamt5.org/tw/contact-us/](https://teamt5.org/tw/contact-us/?utm_source=blog&utm_medium=website)

 
 
*首圖來源: [Unsplash](https://unsplash.com/)

[Incident Response] 8 Key Info for Dealing with Cyber Attacks

8 Key Info for Dealing with Cyber Attacks

Related Post

[Incident Response] 9 Key Steps to Respond to the Ransomware Incident