Hur man upptäcker Ransomware:
12 övervaknings- och aviseringsfunktioner att automatisera

How to Detect Ransomware Blog Banner

Här är ett dussintal sätt för IT-teams av alla storlekar att inrätta automatiserade varningar för att upptäcka ransomware-attacker innan det är för sent.  

Det är galet att tänka sig att det i maj var fem år sedan WannaCry-utbrottet bidrog till att göra ransomware till ett känt namn. På många sätt känns det som om det var en livstid sedan (eller längre). Exempel: Jämfört med de skrämmande siffrorna i dagens rapporter kan vissa av de utpressningsrelaterade siffrorna från 2017 verka pittoreska.

Mycket har uppenbarligen förändrats, och med miljarder dollar på spel är det en kraftig underdrift att säga att dagens utpressningsverksamhet har mognat och utvecklats.

Som säkerhetsforskaren Kevin Beaumont uttrycker det i ett blogginlägg som alla borde läsa:

 

“En ransomware-grupp som fick 40 miljoner dollar för att attackera ett försäkringsbolag för cybersäkerhet ger angriparna mer budget för att genomföra cyberattacker än vad de flesta medelstora och stora organisationer har för att försvara sig mot attacker totalt sett. Och det är bara en attack, från en grupp, som knappt kom upp på de flesta människors nyhetsradar.”

– Kevin Beaumont, “The Hard Truth about Ransomware”

 

Det är en allvarlig bedömning, men innan vi börjar längta tillbaka till de “enklare” dagarna 2017 är det också värt att tänka på att även om vi har sett saker och ting förändras under de senaste fem åren, finns det också en hel del som inte har förändrats.

Ja, ekosystemet för cyberbrottslighet har exploderat kring ransomware, och visst har angreppsgrupper samlat på sig enorma krigskassor för att köpa zero-days och lansera bug bounty-program. Men sanningen är att trots allt detta arbetar majoriteten fortfarande med lågt hängande frukter. Varför ska du vara så sofistikerad och fin när du ändå kan fånga många människor i sömnen med det enklaste av allt?

Ja, det är svårt för dagens organisationer att förebygga, men det har det alltid varit, och jag är inte helt övertygad om att det är exponentiellt svårare idag än för fem år sedan. Sanningen är att starka grunder och grundläggande skydd av enheter kan hjälpa små och medelstora företag en bra bit på väg.

Men det här inlägget handlar om upptäckt, eller hur? Nåväl, samma sak gäller även i detta fall. De flesta organisationer kommer fortfarande att behöva dedikerade resurser (interna eller outsourcade) för att implementera och aktivt övervaka de upptäcktsmöjligheter som vi kommer att ta upp här, men inträdesbarriären är inte nödvändigtvis så hög som vissa säkerhetsleverantörer vill få dig att tro.

Ett exempel på detta: Nedan följer 12 bra, grundläggande idéer för upptäckt som kan ge resultat utan att kosta en förmögenhet.

Låt oss gå in på dem.

Hur man upptäcker ransomware (eller ännu bättre, när)

Till att börja med kan vi komma överens om att det är en omöjlig uppgift att försöka upptäcka ransomware-attacker efter utförandet (utförbara utpressningsvirus som aktivt körs och krypterar data). Några av de mest utbredda varianterna av ransomware kan kryptera 100 000 filer på mindre än fem minuter.

Försök att upptäcka och reagera på plötsliga massförändringar av filnamn etc. är ofta lite för sent.

AV / EDR är uppenbarligen utformade för att blockera exekverbara ransomware, men detektions- och blockeringsfrekvensen är inte perfekt, och även om de lyckas blockera en exekverbar fil så löser det inte problemet att angriparna har fått tillgång till den. Om de misslyckas en gång försöker de igen.

Det är också vanligt att angripare använder verktyg och spelböcker som är utformade för att få utökade privilegier så att de kan inaktivera säkerhetsverktyg (och säkerhetskopior).

Därför är det bästa tillfället att upptäcka och avbryta attacker tidigt, helst när du har att göra med ofta automatiserade försök att landa och etablera sig på dina system. Det är mycket lättare att kväva angreppen i sin linda än att ta itu med nästa steg, när du har att göra med en mänsklig hackare som arbetar med en beprövad spelbok och många verktyg som är utformade för att hjälpa dem att snabbt kartlägga ditt nätverk och ta det i besittning helt och hållet.

 

Så när vi talar om att upptäcka ransomware är det kanske bättre att fråga: “Hur upptäcker vi de tidiga varningssignalerna för en kompromiss som snabbt kan leda till ransomware?”

 

Och betoningen ligger väldigt mycket på “snabbt” Rapporter visar att ransomware kan spridas från den första åtkomsten till dagar eller till och med bara timmar senare. Se DFIR-rapportens uppdelningar av “IcedID to XingLocker ransomware in 24 hours” och “Netwalker Ransomware in 1 Hour

Med så lite tid för att identifiera hotet och reagera är det viktigt att ha verktyg och erfarna experter som aktivt övervakar systemen och är redo att reagera (helst med hjälp av automatisering).

Okej, så vad är tidiga varningssignaler för ransomware och goda möjligheter till upptäckt?

Den goda nyheten är att även om det finns en mängd olika angreppsgrupper och varianter, så använder de flesta fortfarande gemensamma playbooks och verktyg. Tack vare det arbete som forskare som The DFIR Report och andra utfört kan försvarare lära sig de vanligaste TTP:erna och bygga upp detekteringsmekanismer därefter.

Nedan följer en lista över upptäcktsmöjligheter som är kopplade till vanliga angreppsmönster för ransomware (en stor inspiration från DFIR Report’s 2021 Year in Review). Listan är inte heltäckande, men den bör ge dig en bra vägledning för att komma igång.

Om du använder en lösning för hantering av endpoints eller enfjärrhanteringslösning som NinjaOne kan du skapa övervaknings- och varningsvillkor för många av dessa upptäckter som du sedan enkelt kan distribuera till alla enheter, vilket gör att du och ditt team slipper manuellt arbete. Du kan också bygga upp automatiska åtgärder som du vill att varningar ska utlösa, till exempel automatisk ominstallation/omstart av AV/EDR-processer om de identifieras som saknade/avaktiverade.

Om du vill ta allt detta ett steg längre har folket på The DFIR Report också delat med sig av en massa extremt användbara Sigma-regler som du kan använda med Chainsaw, ett gratis verktyg med öppen källkod från F-Secure Labs som erbjuder ett snabbt sätt att kamma igenom händelseloggar och upptäcka misstänkta tecken på en attack.

Typer av utpressningstekniker och hur man identifierar dem – möjligheter till upptäckt per angreppsstadium

Första tillträde

Rapporter om misstänkt e-post från slutanvändare: De får inte samma rubriker som nolldagssårbarheter, men vanliga skadliga e-postmeddelanden som är utformade för att lura användare att ladda ner och köra skadlig kod fortsätter att vara en av de vanligaste initiala angreppsmetoderna. Varför? För att de fortfarande fungerar.

  • Hur man upptäcker misstänkta e-postmeddelanden: Det är viktigt att organisationer ger sina anställda utbildning i säkerhetsmedvetenhet, men också att skapa en kultur där de uppmuntras och belönas för att rapportera misstänkt e-post och potentiella misstag utan att behöva vara rädda för att straffas.

Misstänkta RDP-anslutningar: Exponerad RDP är en annan angreppsmetod som vissa IT- och säkerhetsansvariga kanske rullar med ögonen åt, men den fortsätter att vara en av de främsta punkterna för inledande intrång i samband med ransomware.

 

Uthållighet

Misstänkt skapande av schemalagda arbetsuppgifter: Ett av de vanligaste sätten för angripare att få en långvarig närvaro i ett system.

Oväntad programvara för fjärråtkomst: En annan taktik som har blivit allt vanligare är att angriparna installerar programvara från tredje part, till exempel AnyDesk (den i särklass mest populära), Atera, TeamViewer och Splashtop.

  • Hur man upptäcker oväntad programvara för fjärråtkomst: Dessa är populära verktyg bland IT-partners, men om du INTE använder några av dessa är det en bra idé att regelbundet övervaka och flagga för deras närvaro. Även här kan Kelvins skript användas (se kommentaren från Luke Whitlock för en ändring som övervakar AnyDesk).

Dessutom kan du övervaka Windows Event ID 7045. 

 

Upptrappning av privilegier / tillgång till autentiseringsuppgifter

Extrahering av autentiseringsuppgifter från Windows Local Security Authority Subsystem (LSASS): Det finns andra sätt för angripare att skrapa autentiseringsuppgifter, men detta är ett av de absolut vanligaste sätten.

  • Hur man upptäcker LSASS-missbruk: Ett bra sätt att övervaka eller blockera försök att stjäla autentiseringsuppgifter från LSASS är att utnyttja Microsofts regler för minskning av attackytan (ASR ) (Windows 10 build 1709 / Windows Server build 1809 eller högre krävs): Andra ASR-regler är också utmärkta för att blockera en mängd vanliga försök att köra skadlig kod och få initial åtkomst (t.ex. blockera Office-program från att skapa underprocesser, blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll osv.). Se det här inlägget från Palantirs säkerhetsteam som delar sin bedömning av ASR-reglernas inverkan och rekommenderade inställningar.Många EDR-verktyg erbjuder också liknande blockerings- och detektionsfunktioner för att skydda LSASS.

 

Försvar undvikande

Inaktivera/avinstallera antivirus och andra säkerhetsverktyg: Varför ska du försöka ta dig förbi säkerhetsverktygen när du helt enkelt kan stänga av dem?

 

Upptäckande

Oväntad användning av verktyg för portscanning och nätverksidentifiering: När ett strandhuvud väl har etablerats måste angriparna se sig omkring för att se var de har landat och identifiera de bästa möjligheterna till sidoförflyttning. Många kommer att använda sig av inbyggda Windows-verktyg som nltest.exe, ipconfig, whoami etc. samt ADFind. Andra använder verktyg för portscanning som Advanced IP Scanner.

  • Hur man upptäcker misstänkta portscanners och spaningsverktyg: Om du inte använder verktygen regelbundet kan du, precis som med fjärråtkomstverktyg, testa att övervaka dem och skapa varningar och automatiseringsregler för att proaktivt blockera dem.

 

Sidoförflyttning

Misstänkt användning av Cobalt Strike: Cobalt Strike är en “programvara för simulering av motståndare” som tyvärr har blivit lika populär bland angripare som den var för den avsedda målgruppen penetrationstestare. Det gör det otroligt lätt att utföra en mängd olika taktiker efter exploateringen och dyker regelbundet upp som ett missbrukat verktyg i incidenter med ransomware.

Oväntad programvara för fjärråtkomst: Se avsnittet om fjärråtkomst i avsnittet “Persistens” ovan.

Misstänkta fjärråtkomstanslutningar: Det kan handla om användning av RDP, SMB, VNC med mera

  • Hur man upptäcker misstänkta fjärråtkomstanslutningar: Se den här listan med övervakningsidéer från MITRE (t.ex. skapande av nätverksanslutningar, åtkomst till nätverksandelar etc.) och gå ner till delteknikerna för att få specifika uppgifter om missbruk av RDP, SMB, VNC, SSH etc.

Misstänkt användning av PsExec: PsExec är ett annat inbyggt Microsoft-verktyg som angriparna har börjat missbruka. Det gör det möjligt att utföra kommandon eller skript på distans som SYSTEM.

 

Exfiltrering av data

Misstänkta utgående anslutningar och trafikspikar: För att få större inflytande över offren blir det allt vanligare att angriparna inte bara krypterar data utan också exfiltrerar dem först. Det ger dem ytterligare ett hot om att sälja uppgifterna eller lägga ut dem på nätet

  • Hur man upptäcker dataexfiltration: Indikatorer på potentiell dataexfiltration kan vara stora toppar i utgående trafik, oväntade anslutningar till offentliga IP-adresser, ovanligt använda portar, stora volymer av DNS-frågor, misstänkta filändelser för källfiler (.rar, .7z, .zip, etc.), med mera. Nätverksövervakning och brandväggsregler kan täcka upp för det mesta här. Fler idéer finns i avsnittet “Exfiltration” i MITRE ATT&CK.

Missbruk av inbyggda verktyg och verktyg för filöverföring med öppen källkod: Angripare älskar att använda legitima verktyg som kan hjälpa dem att smälta in i mängden. När det gäller dataexfiltrering ingår Microsoft BITS, curl.exe, Rclone, Mega (MegaSync och MegaCmd) med flera.

  • Hur man upptäcker misstänkt användning av filöverföring: Angripare kan göra sig besväret att byta namn på dessa program, men vissa gör det helt enkelt inte, så en bra utgångspunkt är att blockera och/eller övervaka och varna för deras användning. För mer avancerade idéer för upptäckt av granulärt material, se följande: detecting Rclone, detecting Mega and Rclone, och MITRE ATT&CK ID T1197.

 

Lägg till ett lager av ransomware-upptäckning som är hanterbart och skalbart

Att aktivt övervaka och varna för den här typen av aktiviteter kan vara en utmaning för organisationer som inte har en kunnig och utbildad dedikerad resurs. I många fall kan det vara en bra lösning att samarbeta med rätt experter på entreprenad

För fler exempel på automatiseringar som IT-teams kan utnyttja med Ninja, se “What Should You Be Monitoring with Your RMM? 28 Recommendations.”

NinjaOne samarbetar också med Bitdefender för att tillhandahålla en integrerad anti-ransomware-lösning som en del av vår enhetliga plattform för IT-hantering. Genom att inkludera Ninja + Bitdefender GravityZone + Ninja Data Protection hjälper NinjaOne Protect-paketet till att förebygga, upptäcka och reagera på ransomware-attacker, vilket potentiellt kan minska den skadliga inverkan på ditt företag.

Starta en gratis provperiod med NinjaOne Protect idag.

Nästa steg

För att bygga upp ett effektivt och handlingskraftigt IT-team krävs en centraliserad lösning som fungerar som ett centralt redskap för att leverera IT-tjänster. NinjaOne gör det möjligt för IT-teams att övervaka, hantera, säkra och stödja alla sina enheter, oavsett var de befinner sig, utan behovet av en komplex infrastruktur på plats.

Lär dig mer om NinjaOne endpoint-hantering, ta en live tour, eller starta en gratis provperiod av NinjaOne.

Du kanske även gillar dessa inlägg

Redo att bli en IT-ninja?

Ta reda på hur NinjaOne kan hjälpa dig att förenkla din IT-hantering.
×

Se NinjaOne i aktion!

Genom att skicka detta formulär accepterar jag NinjaOne:s integritetspolicy.

NinjaOne Villkor och bestämmelser

Genom att klicka på knappen “Jag accepterar” nedan anger du att du accepterar följande juridiska villkor samt våra användarvillkor:

  • Äganderätt: NinjaOne äger och kommer att fortsätta att äga alla rättigheter, titlar och intressen i och till manuset (inklusive upphovsrätten). NinjaOne ger dig en begränsad licens att använda skriptet i enlighet med dessa juridiska villkor.
  • Begränsning av användning: Du får endast använda skriptet för dina legitima personliga eller interna affärssyften, och du får inte dela skriptet med någon annan part.
  • Republikbildning Förbud: Du får under inga omständigheter återpublicera skriptet i något skriptbibliotek som tillhör eller kontrolleras av någon annan programvaruleverantör.
  • Friskrivning från garantiansvar: Skriptet tillhandahålls “i befintligt skick” och “som tillgängligt”, utan garanti av något slag. NinjaOne ger inga löften eller garantier om att skriptet kommer att vara fritt från defekter eller att det kommer att uppfylla dina specifika behov eller förväntningar.
  • Antagande av risk: Din användning av skriptet sker på egen risk. Du bekräftar att det finns vissa inneboende risker med att använda skriptet, och du förstår och tar på dig var och en av dessa risker.
  • Avstående och befrielse: Du kommer inte att hålla NinjaOne ansvarig för några negativa eller oavsiktliga konsekvenser till följd av din användning av skriptet, och du avstår från alla juridiska eller skäliga rättigheter eller rättsmedel som du kan ha mot NinjaOne i samband med din användning av skriptet.
  • EULA: Om du är en NinjaOne-kund omfattas din användning av skriptet av det licensavtal för slutanvändare som gäller för dig (EULA).