0
0
om novos ransomware sendo lançados todos os dias, às vezes parece impossível manter o ritmo e monitorar todos eles
Novo ransomware, criação ou evolução?
Embora sejam numerosos e complexos, muitos ransomware compartilham blocos comuns de código e comportamento.
Por exemplo, Revil (também conhecido como Sodinokibi ou Sodin), começou a atacar exatamente quando o fim de todas as atividades do GandCrab foi anunciado. Após análise, pareceu que o código dos dois ransomware era estranhamente semelhante.
Uma história engraçada está relacionada a Petya , o ransomware que chegou em 2016. Um ano depois de sua primeira aparição, um gêmeo foi encontrado, todos acreditaram que era Petya, mas Kaspersky começou a se referir a ele como NotPetya para sublinhar o fato de que eram muito semelhantes ainda diferente o suficiente para chamá-lo de um novo malware.
Mais recentemente, no final de 2020, o fim do Maze foi anunciado, ao mesmo tempo que dois novos ransomware conhecidos como Egregor e Sekhmet foram observados com semelhanças estranhas, indicando que os usuários do Maze podem ter apenas feito a transição de um ransomware para o outro.
As seis fases de um ataque
Neste blog, vamos decompor um ataque de ransomware em 6 fases principais e ver como o IBM QRadar Endpoint Content Extension pode ajudá-lo a detectar ransomware.
Para cada fase, iremos descrever as etapas mais comuns tomadas pelo ransomware (cada ataque pode usar uma ou várias técnicas) e a lista de regras que o ajudarão a detectá-las.
Fase de distribuição
Esta é a única fase que não está incluída no pacote de conteúdo do endpoint, pois a entrega do kit de exploração acontece principalmente por meio de phishing , e há uma extensão de conteúdo dedicada para ele.
Consulte o parágrafo Configuração do QRadar para localizar todos os links para o App Exchange.
Fase de infecção
Este é o momento da ligação de volta para casa. O ” executável real ” é baixado , o dropper é excluído e o ransomware é executado.
A extensão contém várias regras que correspondem a IOCs em feeds de ameaças, mas também algumas regras dedicadas para ransomware específico, com o objetivo de tornar sua identificação mais fácil para analistas de SOC.
Aplicar Ransomware:
– Maze IOC em eventos em eventos que são detectados pelo sistema local
– Quando o (s) evento (s) foram detectados por um ou mais Log de eventos de segurança do Microsoft Windows,
– Quando a categoria de evento para o evento é um dos seguintes Sistema. Arquivo criado;
– Quando o evento corresponde ao Nome do arquivo (personalizado) não é N / A ;
– Quando o evento corresponde a LOWER (“Nome do arquivo”) MATCHES ‘(sss \ .exe | 2 \ .txt | ad \ .7z | (2 | windows | xab3x | xaa3x | 2adfind | start) \. bat) ‘ Consulta de filtro AQL
Dependendo do caso, as regras podem se aplicar a Windows, Linux, Flows ou vários deles.
Fase de preparação
O ransomware agora está se tornando uma casa confortável! Esta é a fase em que o ransomware escaneia a máquina para analisar os direitos administrativos que pode obter, executa-se na inicialização , desativa o modo de recuperação e exclui cópias de sombra , etc.
Essas regras podem ser úteis para detectar ransomware e também muitas outras ameaças.
– Aplicar tentativa de exclusão de cópias de sombra em eventos que são detectados pelo sistema local
– Quando o (s) evento (s) foram detectados por um ou mais Log de eventos de segurança do Microsoft Windows
– Quando a categoria de evento para o evento é um dos seguintes Sistema. Sucesso na criação do processo
– Quando o evento corresponde ao Process CommandLine (personalizado) não é N / A
– Quando o evento corresponde a LOWER (“Process Name”) MATCHES ‘(wmic | vssadmin) \. Exe’ Consulta de filtro AQL
– Quando o evento corresponde a LOWER (“Process CommandLine”) MATCHES ‘(. * Shadowcopy \ s + delete. * |. * Delete \ s + sombras. *)’ Consulta de filtro AQL
Fase de reconhecimento
Agora que o ransomware está pronto para possuir a máquina, ele iniciará uma fase de reconhecimento da rede (caminhos de ataque), pastas e arquivos com extensões predefinidas, etc.
As regras de reconhecimento foram detalhadas um pouco mais nos fundamentos de monitoramento de Endpoint anteriores para o blog QRadar (cobrindo Cobalt Strike, SharpHound, PingCastle, Advanced IP Scanner, AdFind, Everything e ferramentas Masscan).
Este conjunto de regras é uma vitória dupla para um SOC. Você pode implementar monitoramento para comportamento típico de ransomware , mas também para detectar algumas ferramentas de teste de penetração comuns usadas por equipes vermelhas.
Aplicar comportamento de ataque de cobalto detectado em eventos ou fluxos que são detectados pelo sistema local, quando um fluxo ou evento corresponde a qualquer um dos seguintes:
– BB: BehaviorDefinition: Tráfego de entrada de ataque de cobalto;
– BB: BehaviorDefinition: Tráfego de saída de ataque de cobalto;
– BB: BehaviorDefinition: Endereço do processo de ataque de cobalto;
– BB: Definição de comportamento: Uso da porta de ataque de cobalto.
Encriptação
Esta é a fase em que o dano real está sendo feito. O caminho típico é: crie uma cópia de cada arquivo, criptografe as cópias, coloque os novos arquivos no local original.
Os arquivos originais podem ser exfiltrados e excluídos do sistema, permitindo que os invasores extorquem a vítima com ameaças de divulgar sua violação até mesmo para vazar documentos roubados.
Na maioria das vezes, um relatório completo é criado e carregado para casa.
Os limites dessas regras precisam ser ajustados ao tamanho da empresa e ao comportamento típico dos usuários.
A regra Ransomware Encrypted File Extension é desabilitada por padrão, pois é configurada para corresponder a mais de 200 extensões de arquivo por padrão e deve ser limitada a ambientes críticos.
Aplicar uma quantidade suspeita de arquivos renomeados / movidos na mesma máquina (Unix) em eventos que são detectados pelo sistema local
– Quando um evento corresponde a qualquer um dos seguintes BB: DeviceDefinition: sistema operacional
– Quando a categoria de evento para o evento é uma das o seguinte sistema. Sucesso na criação do processo
– Quando o evento corresponde ao nome do processo (personalizado) é qualquer um de mv
– Quando pelo menos 750 eventos são vistos com a mesma ID de máquina (personalizado) em 5 minutos
Notificação de resgate
No final do processo, o usuário recebe uma notificação e instruções para pagar o resgate para obter a chave de descriptografia.
Neste ponto, não há muito mais para detectar, exceto para a criação do arquivo de instrução de descriptografia .
A regra Instruções de descriptografia de ransomware criadas corresponde a palavras típicas usadas por ransomware, como descriptografar, recuperar, instruções, como fazer, etc.
Esta regra é dividida em 3 partes, procurando por extensões de arquivo específicas, regexes em nomes de arquivo e nome de arquivo + extensão.
Você pode ajustá-lo para se adaptar a um ransomware específico.
Aplicar instruções de descriptografia de ransomware criadas em eventos que são detectados pelo sistema local
– Quando um evento corresponde a qualquer um dos seguintes BB: DeviceDefinition: sistema operacional
– Quando a categoria de evento para o evento é um dos seguintes sistemas. Arquivo criado
– Quando o evento corresponde ao nome do arquivo (personalizado) não é N / A
– Quando o evento corresponde a LOWER (“File Extension”) MATCHES ‘. *? (Where_my_files | how_to_ (recover_data | decrypt) | contact_here_to_recover_your_files)’ OR LOWER (” Nome do arquivo “) CORRESPONDÊNCIA ‘(decifrar arquivos | [a-z0-9] {5,12} -readme | readme_for_decrypt) \. Txt’ OU (MENOR (” Nome do arquivo “) CORRESPONDÊNCIA ‘. *? Decriptografar. *’ E MENOR (“Extensão de arquivo”) IN (‘txt’, ‘html’
Configuração QRadar
Muitas das regras enumeradas neste blog estão relacionadas ao monitoramento de arquivo, isso significa que uma configuração adicional é necessária para enviar logs relevantes para o QRadar.
Instale o DSM
Baixe e instale o DSM relevante para o seu ambiente por meio de atualizações automáticas ou Fix Central . A extensão de conteúdo Endpoint foi otimizada para funcionar com ambientes Windows e Linux , mas pode ser adaptada a qualquer sistema operacional.
A extensão de conteúdo de phishing e email foi otimizada para Microsoft Exchange, Cisco Ironport, Postfix, Proofpoint e Office 365 , mas pode ser adaptada a qualquer tipo de servidor de email.
Configure os dispositivos
Consulte o Guia DSM para a configuração básica.
Etapas adicionais devem ser executadas para configurar Sysmon no Windows e Auditd no Linux para corresponder a todas as regras incluídas no pacote de conteúdo.
Configuração Sysmon no IBM Knowledge Center
Configuração de auditoria no IBM Knowledge Center
Instale as extensões de conteúdo
Regras
O IBM QRadar Endpoint Content Extension e o IBM QRadar Phishing e Email Content Extension estão disponíveis no App Exchange .
Propriedades
O pacote contém marcadores de posição de definição de propriedade customizada. Isso significa que você pode copiar as propriedades personalizadas fornecidas e adaptá-las ao seu ambiente, adicionando expressões sob essa definição. Você também pode baixar nossos conjuntos de propriedades personalizadas.
Lista de propriedades predefinidas disponíveis no App Exchange
Propriedades customizadas do IBM QRadar para Microsoft Windows
Propriedades customizadas do IBM QRadar para Linux Propriedades customizadas do
IBM QRadar para Postfix Propriedades customizadas do
IBM QRadar para-Cisco IronPort
Propriedades customizadas do IBM QRadar para Proofpoint
Propriedades customizadas da IBM para Microsoft Exchange
Extensão de conteúdo do IBM QRadar para Office 365
Concluindo, mesmo que o ransomware esteja em constante evolução, existem comportamentos comuns que você pode observar e as extensões de conteúdo do App Exchange podem ser um bom ponto de partida. Se você tiver alguma recomendação de conteúdo a ser implementado, não hesite em nos avisar.
FONTE: CRYPTOID