Contre-mesures pour les familles courantes de ransomwares

Articles techniques ID: KB96146
Date de la dernière modification : 13/07/2023

Environnement

Endpoint Security (ENS) 10.x

Synthèse

Cet article de la base de connaissances vise à fournir une autre couche de défense contre une industrie des logiciels malveillants hautement professionnelle et à but lucratif qui innove constamment et tente de contourner les mesures de sécurité connues ou d'exploiter des systèmes non sécurisés ou obsolètes.

REMARQUE : L'utilisation des règles détaillées dans la section "Solutions" ci-dessous s'est avérée efficace pour arrêter ou réduire l'impact de nombreuses variantes actuelles et nouvelles de ces menaces. Avant de mettre en œuvre les recommandations ci-dessous, il est essentiel que vous testiez minutieusement les règles pour vous assurer de leur intégrité et qu'aucune application légitime, développée en interne ou autre, ne soit empêchée de fonctionner dans votre environnement de production.

Problème

Les acteurs de la menace continuent de créer des variantes de ransomwares et de retravailler les variantes existantes pour passer à travers les défenses de sécurité. Ces nouvelles mises à jour sont constamment testées par rapport aux produits de sécurité. La vigilance est de mise pour l'emporter contre les ransomwares car de nouvelles variantes apparaissent avec des comportements similaires.

Le ciblage des ransomwares eux-mêmes peut être difficile en raison de l'évolution radicale du paysage des nouvelles variantes. La meilleure approche pour lutter contre les ransomwares comprend une combinaison de détection comportementale via JTI/ATP, le confinement dynamique des applications (DAC), l'analyse statique et dynamique via les scanners Real Protect, la prévention des exploits/règles d'experts et la réputation des fichiers Global Threat Intelligence (GTI). Mais, il est toujours préférable de cibler les menaces vectorielles d'entrée pour mieux renforcer votre posture de sécurité.

Solution 1

La lutte contre les ransomwares peut être réalisée via plusieurs mesures de sécurité. Les meilleures mesures que vous pouvez mettre en place sont des contre-mesures proactives qui ciblent les menaces vectorielles d'entrée. Si vous réussissez à empêcher ces vecteurs d'entrée/menaces de premier niveau, les deuxièmes stades et les stades ultérieurs de logiciels malveillants, tels que les ransomwares, peuvent être évités. Pour obtenir des recommandations sur une approche de sécurité en couches pour empêcher une violation réussie de ces menaces vectorielles d'entrée, voir KB91836 - Contre-mesures pour les menaces vectorielles d'entrée.

Solution 2

Les règles de protection d'accès peuvent être une autre forme de sécurité qui cible les extensions de fichiers chiffrées d'un rançongiciel. En empêchant l'exécution, l'écriture, la suppression, etc. de l'extension de fichier cryptée, les règles ont une chance de casser la routine de cryptage. Mais, vous ne pouvez pas bloquer tous les cryptages de rançongiciels de cette façon. Cela peut finir par supprimer complètement le fichier du système ou empêcher le fichier d'être renommé tout en restant crypté, entre autres résultats inattendus. Soyez donc prudent avec cette approche.

Solution 3

En identifiant des modèles de comportement similaires dans différentes variantes, nous avons défini des règles proactives pour nos produits Endpoint : Endpoint Security (ENS) et Trellix Endpoint (anciennement MVISION Endpoint). Ces règles visent à empêcher efficacement l'installation ou la charge utile de nouvelles variantes historiques, actuelles et évolutives de ces menaces.

D'après les tests de support internes, nous avons trouvé les contre-mesures ENS suivantes efficaces contre plusieurs types d'attaques de ransomware :

Règles JTI (ATP) de protection adaptive contre les menaces ENS :
Cliquez sur ou désactivez les paramètres des règles ci-dessous dans le serveur ePolicy Orchestrator (ePO) Paramètres sous Protection adaptive contre les menaces. Il existe trois configurations différentes : Productivité, Équilibré et Sécurité. Les modifications apportées dans les paramètres du serveur s'appliquent aux affectations de groupes de règles dans la stratégie Options ATP.

Rule ID 4: Use GTI file reputation to identify trusted or malicious files
Rule ID 5: Use GTI URL reputation to identify trusted or malicious processes
Rule ID 239: Identify suspicious command parameter execution
Rule ID 240: Identify suspicious files with characteristics that have been predominantly seen in ransomware
Rule ID 255: Detect potentially obfuscated command-line parameters
Rule ID 263: Detect processes accessing suspicious URLs
Rule ID 300: Prevent office applications from starting child processes that can execute script commands
Rule ID 309: Block processes attempting to launch from Office applications.
Rule ID 312: Prevent email applications, such as Outlook, from spawning script editors and dual use tool
Rule ID 313: Prevent text editors like Notepad and WordPad from spawning processes that can execute script commands in all rule group assignments
Rule ID 316: Prevent PDF readers from starting processes that can execute scripts in all rule group assignments
Rule ID 318: Prevent PDF readers from starting cmd.exe
Rule ID 319: Prevent cmd.exe from starting other script interpreters such as cscript or PowerShell in all rule group assignments
Rule ID 323: Prevent mshta from being launched as a child process.
Rule ID 332: Prevent certutil.exe from downloading or decoding files with suspect extensions
Rule ID 341: Identify and block patterns being used in Ransomware attacks in security rule group assignments.
Rule ID 342: Identify and block patterns being used in Ransomware attacks
Rule ID 502: Detect new service creation
Rule ID 513: Detect commands used for copying files from a remote system
Rule ID 517: Prevent actor process with unknown reputations from launching processes in common system folders

Confinement d'application dynamique (DAC) ENS :
le DAC est déclenché uniquement si la réputation du processus répond aux critères de réputation définis dans la politique Options ATP. Lorsqu'un processus est contenu par DAC, il est soumis à la surveillance post-exécution et à toutes les règles activées dans la stratégie DAC.

Rule: Deleting files commonly targeted by ransomware-class malware
Rule: Disabling critical operating system executables
Rule: Modifying appinit DLL registry entries
Rule: Modifying Image File Execution Options registry entries
Rule: Modifying screen saver settings
Rule: Modifying startup registry locations
Rule: Reading files commonly targeted by ransomware-class malware
Rule: Suspending a process
Rule: Terminating another process
Rule: Reading from another process' memory
Rule: Writing to files commonly targeted by ransomware-class malware

REMARQUE : Pour les meilleures pratiques, voir KB87843 - Règles et meilleures pratiques de confinement d'application dynamique. Comme pour les règles de protection d'accès, testez toutes les règles DAC pour éviter les interruptions dans votre environnement.

ENS Threat Prevention Anti-Malware Scan Interface (AMSI) :
Cliquez sur l'intégration avec AMSI. AMSI fournit une analyse de script améliorée. AMSI est une norme d'interface générique qui permet aux applications et aux services de s'intégrer à Threat Prevention, offrant une meilleure protection contre les logiciels malveillants. Microsoft fournit AMSI. AMSI est pris en charge sur les systèmes Windows 10 et Windows Server 2016 (et versions ultérieures). Utilisez AMSI pour améliorer l'analyse des menaces dans les scripts non basés sur un navigateur, tels que PowerShell, WScriptet CScript.

Prévention contre les exploits ENS :

Signature 344: New StartUp Creation
Signature 413: Suspicious Double File Extension Execution
Signature 428: Generic Buffer Overflow
Signature 6107: MS Word trying to execute unwanted programs
Signature 6108: Suspicious download string script execution
Signature 6113: Fileless Threat: Reflective Self Injection
Signature 6114: Fileless Threat: Reflective EXE Self Injection
Signature 6115: Fileless Threat: Reflective DLL Remote Injection
Signature 6116: Mimikatz LSASS Suspicious Memory Read
Signature 6117: Mimikatz LSASS Suspicious Memory DMP Read
Signature 6120: Fileless Threat: Process Hollowing
Signature 6121: Fileless Threat: Process Hollowing
Signature 6127: Suspicious LSASS Access from PowerShell
Signature 6131: Weaponized OLE object infection via WMI
Signature 6148: Malware Behavior: Windows EFS abuse
Signature 6153: Malware Behavior: Ryuk Ransomware activity detected
Signature 6155: Malicious Behavior: Directory Junction attempt detected

Règles expertes de prévention des exploits ENS :
le référentiel Trellix Advanced Research Center GitHub contient un ensemble d'exemples de règles expertes qui peuvent être directement utilisées avec ENS dans la politique de prévention des exploits. Les règles expertes ci-dessous sont spécifiques au ciblage des attaques de ransomware :

Règles d'expert suggéréespour le référentiel GitHub

:

Detect_Deletion_Of_Shadow_Copies_Using_WMIC.EXE.md.txt
Detect_Suspicious_Usage_Of_VSSADMIN.EXE.md.txt
File_Block_Rclone (Deux scénarios sont prévus pour cette règle.)

Règles par défaut de protection d'accès ENS :

Browsers launching programs from downloaded programs file folders
Creating new executable file in the programs files folder
Creating new executable file in the windows folder
Disabling registry editor and task manager
Doppelganger attack on processes
Executing mimikatz malware
Executing scripts by windows script host
Remotely creating or modifying files or folders
Remotely creating or modifying PE,.INI and core system locations

Informations connexes

Les publications Trellix suivantes fournissent plusieurs points de données sur les familles de ransomwares dans leur ensemble :

Qu'est-ce qu'un rançongiciel ?
Lorsqu'un ransomware réussit à violer votre environnement, KB89805 - Comment répondre à une infection par ransomware fournit des conseils généraux aux premiers intervenants lors d'une épidémie de ransomware.
Les techniques de cryptage utilisées dans les charges utiles des ransomwares rendent la récupération des fichiers cryptés difficile, voire impossible. Une fois exécutée, la clé privée nécessaire n'est généralement disponible que pour l'auteur. Pour le déchiffrement, vous pouvez utiliser l'outil No More Ransom project ou Trellix Ransomware Recover pour déterminer si les clés et la logique de déchiffrement sont devenues disponibles. Le No More Ransom Project est une collaboration entre plusieurs fournisseurs de sécurité, c'est donc le plus probable pour le décryptage. No More Ransom permet le téléchargement de fichiers cryptés, la note de ransomware et tous les artefacts (e-mail, URL de site Web, adresse oignon ou bitcoin) répertoriés dans la demande de rançon, afin de déterminer si un outil de décryptage est disponible.

Recommandations supplémentaires pour se défendre contre les ransomwares :

Sensibilisation et formation à la sécurité :
- Simulez une campagne de phishing et de spam pour sensibiliser à la sécurité les personnes victimes d'attaques d'ingénierie sociale.
- N'ouvrez pas les pièces jointes et ne lancez pas de liens suspects, sauf si l'expéditeur vous le demande. Affichez l'en-tête de l'e-mail ou envoyez un e-mail séparé pour valider l'expéditeur avant d'ouvrir les pièces jointes.
- Signalez les e-mails suspects au centre des opérations de sécurité de l'organisation. Rappelez à vos employés comment et où envoyer des e-mails suspects en toute sécurité.
Sauvegardez vos données
Sécurisez vos sauvegardes
Utilisez un logiciel de sécurité et maintenez-le à jour
Pratiquez le surf en toute sécurité
Utilisez uniquement des réseaux sécurisés
Rester informé

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Produits affectés

Langues :

Cet article est disponible dans les langues suivantes :

Knowledge Center

Contre-mesures pour les familles courantes de ransomwares

Environnement

Synthèse

Problème

Solution 1

Solution 2

Solution 3

Informations connexes

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Title

Title

Knowledge Center

Contre-mesures pour les familles courantes de ransomwares

Environnement

Synthèse

Problème

Solution 1

Solution 2

Solution 3

Informations connexes

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Choisissez votre région

Title

Title