Sua melhor defesa contra ransomware: encontre os sinais de alerta antecipados

Views: 109
0 0
Read Time:6 Minute, 29 Second

À medida que o ransomware continua a provar o quão devastador pode ser,uma das coisas mais assustadoras para os profissionais de segurança é a rapidez com que ele pode paralisar uma organização. Basta olhar para a Honda, que foi forçada a encerrar todas as operações globais em junho, e garmin, que teve seus serviços desligados por dias em julho.

Ransomware não é difícil de detectar, mas identificá-lo quando a criptografia e a exfiltração são desenfreadas é tarde demais. No entanto, existem vários sinais de alerta que as organizações podem capturar antes que o dano real seja feito. Na verdade, o FireEye descobriu que geralmente há três dias de tempo de moradia entre esses sinais de alerta precoce e a detonação de ransomware.

Então, como uma equipe de segurança acha esses sinais de alerta fracos, mas importantes? Um pouco surpreendentemente, talvez, a rede fornece um ponto de vista único para detectar a atividade de pré-criptografia de atores de ransomware, como aqueles por trás do Maze.

Aqui está um guia, discriminado pela categoria MITRE, dos muitos sinais de alerta que as organizações que estão sendo atacadas pelo ransomware Maze podem ver e agir antes que seja tarde demais.

Acesso inicial

Com os atores do Maze, existem vários vetores de acesso iniciais, como anexos de phishing e links, acesso remoto voltado para externos, comoo RDP(Remote Desktop Protocol) da Microsoft, e acesso via contas válidas. Tudo isso pode ser descoberto enquanto a rede ameaça a caça através do tráfego. Além disso, dado que isso representa a primeira incursão do ator no meio ambiente, detectar esse acesso inicial é a melhor aposta da organização para mitigar significativamente o impacto.

Técnicas ATT&CKCaçando…
T1193 Anexo de spear-phishing

T1192 Spear-phishing link
Domínios inéditos ou recém-registrados, registradores exclusivosDoppelgangers de sua organização / domínios de parceiros ou Alexa top 500
T133 Serviços remotos externosRDP de entrada de dispositivos externos
T1078 Contas válidasSenhas expostas em SMB, FTP, HTTP e outros usos claros de texto
T1190 Explorar aplicativo voltado para o públicoExposição e exploração de vulnerabilidades conhecidas

Execução

A fase de execução ainda é cedo o suficiente em um ataque para desligá-la e frustrar qualquer tentativa de detonar ransomware. Os sinais de alerta comuns para observar na execução incluem usuários sendo enganados a clicar em um link ou anexo de phishing, ou quando certas ferramentas como o PsExec foram usadas no ambiente.

Técnicas ATT&CKCaçando…
T1024 Execução do usuárioComportamentos de e-mail suspeitos de usuários e downloads associados
T1035 Execução de serviçoFile IO over SMB usando PsExec, extraindo conteúdo em um sistema e, posteriormente, em outro sistema
T1028 Gerenciamento remoto do WindowsConexões de gerenciamento remoto excluindo bons dispositivos conhecidos

Persistência

Os adversários que usam o Maze contam com várias técnicas comuns, como um web shell em sistemas voltados para a internet e o uso de contas válidas obtidas dentro do ambiente. Uma vez que o adversário tem garantido uma base, ele começa a se tornar cada vez mais difícil mitigar o impacto.

Técnicas ATT&CKCaçando…
T1100 Concha webConexões de atividade exclusivas (por exemplo, portas atípicas e agentes de usuário) de conexões externas
T1078 Contas válidasCópia remota das lojas de arquivos KeePass em SMB ou HTTP

Escalada de privilégios

À medida que um adversário ganha níveis mais altos de acesso, torna-se significativamente mais difícil captar sinais adicionais de atividade no ambiente. Para os atores de Maze, as técnicas utilizadas para persistência são semelhantes às da atividade privilegiada.

Técnicas ATT&CKCaçando…
T1100 Concha webWeb shells em sistemas externos voltados para web e gateway
T1078 Contas válidasCópia remota de arquivos de senha em SMB (por exemplo, arquivos com “passw”)

Evasão de defesa

Para ocultar arquivos e seu acesso a diferentes sistemas, adversários como os que usam Maze renomearão arquivos, codificar, arquivar e usar outros mecanismos para ocultar seus rastros. As tentativas de esconder seus traços estão em si mesmas indicadores para caçar.

Técnicas ATT&CKCaçando…
T1027 Arquivos ou informações ofuscadasFerramentas adversárias por uso da porta, nome do emissor de certificados ou comunicações de protocolo desconhecidas
T1078 Contas válidasCriação de novas contas a partir de estações de trabalho e outros dispositivos usados por não administradores

Acesso credencial

Existem vários controles defensivos que podem ser colocados em prática para ajudar a limitar ou restringir o acesso a credenciais. Os caçadores de ameaças podem habilitar esse processo fornecendo consciência situacional sobre a higiene da rede, incluindo uso específico de ferramentas de ataque, tentativas de uso indevido de credenciais e senhas fracas ou inseguras.

Técnicas ATT&CKCaçando…
T110 Força brutaRdP tentativas de força bruta contra contas de nomes de usuário conhecidas
T1081 Credenciais em arquivosSenhas não criptografadas e arquivos de senha no ambiente

Descoberta

Os adversários do labirinto usam uma série de métodos diferentes para reconhecimento interno e descoberta. Por exemplo, ferramentas e métodos de enumeração e coleta de dados deixam seu próprio rastro de evidências que podem ser identificadas antes que a exfiltração e criptografia ocorram.

Técnicas ATT&CKCaçando…
T1201 Descoberta de política de senhaTráfego de dispositivos copiando a política de senhas de compartilhamentos de arquivosEnumeração da política de senha
T1018 Descoberta remota do sistemaT1087 Descoberta de contaT1016 Descoberta de configuração de rede do sistemaT1135 Descoberta de compartilhamento de redeT1083 Descoberta de arquivo e diretórioEnumeração para nomes de computadores, contas, conexões de rede, configurações de rede ou arquivos

Movimento lateral

Os atores do Ransomware usam o movimento lateral para entender o ambiente, espalhar-se pela rede e, em seguida, coletar e preparar dados para criptografia/exfiltração.

Técnicas ATT&CKCaçando…
T1105 Cópia remota do arquivoT1077 Ações do administrador do WindowsAtividade suspeita de gravação de arquivo SMBUso do PsExec para copiar ferramentas de ataque ou acessar outros sistemasFerramentas de ataque copiadas em SMB
T1076 Protocolo de desktop remotoT1028 Gerenciamento remoto do WindowsT1097 Passe o bilheteHTTP POST com o uso do agente de usuário WinRMEnumeração de recursos de gerenciamento remotoDispositivos não administrativos com atividade RDP

Coleção

Nesta fase, os atores de Maze usam ferramentas e scripts em lote para coletar informações e se preparar para exfiltração. É típico encontrar arquivos ou arquivos .bat usando a extensão .7z ou .exe nesta fase.

Técnicas ATT&CKCaçando…
T1039 Dados da unidade de compartilhamento de redeAtividade suspeita ou incomum de coleta de dados do sistema remoto

Comando e controle (C2)

Muitos adversários usarão portas comuns ou ferramentas de acesso remoto para tentar obter e manter O C2, e os atores de Maze não são diferentes. Na pesquisa que minha equipe fez, também vimos o uso de túneis ICMP para se conectar à infraestrutura do atacante.

Técnicas ATT&CKCaçando…
T1043 Porta usada comumT1071 Protocolo padrão de camada de aplicativoChamadas do ICMP para endereços IPTráfego HTTP não-navegadorScript HTTP exclusivo como solicitações
T1105 Cópia remota do arquivoDownloads de ferramentas de acesso remoto através de pesquisas de string
T1219 Ferramentas de acesso remotoCobalt strike BEACON e FTP para diretórios com cobalto no nome

Exfiltração

Nesta fase, o risco de exposição de dados confidenciais no domínio público é terrível e significa que uma organização perdeu muitos dos sinais de alerta anteriores — agora trata-se de minimizar o impacto.

Técnicas ATT&CKCaçando…
T1030 Limites de tamanho de transferência de dadosTráfego de dispositivos externos para destinos incomuns
T1048 Exfiltração sobre protocolo alternativoSaída de FTP desconhecida
T1002: Dados comprimidosExtração de arquivos

Resumo

Ransomware nunca é uma boa notícia quando aparece na porta. No entanto, com a caça e monitoramento de ameaças de rede disciplinadas, é possível identificar um ataque no início do ciclo de vida. Muitos dos primeiros sinais de alerta são visíveis na rede e os caçadores de ameaças seriam bem servidos para identificá-los e, assim, ajudar a mitigar o impacto.

FONTE: HELPNET SECURITY

Previous post Google Cloud estreia serviço de detecção de ameaças
Next post Novo ransomware OldGremlin usa malware personalizado para atingir as principais organizações

Deixe um comentário