En identifiant des modèles de comportement similaires dans différentes variantes, nous avons défini des règles proactives pour nos produits Endpoint : Endpoint Security (ENS) et Trellix Endpoint (anciennement MVISION Endpoint). Ces règles visent à empêcher efficacement l'installation ou la charge utile de nouvelles variantes historiques, actuelles et évolutives de ces menaces.
D'après les tests de support internes, nous avons trouvé les contre-mesures ENS suivantes efficaces contre plusieurs types d'attaques de ransomware :
Règles JTI (ATP) de protection adaptive contre les menaces ENS :Cliquez sur ou désactivez les paramètres des règles ci-dessous dans le serveur ePolicy Orchestrator (ePO) Paramètres sous Protection adaptive contre les menaces. Il existe trois configurations différentes : Productivité, Équilibré et Sécurité. Les modifications apportées dans les paramètres du serveur s'appliquent aux affectations de groupes de règles dans la stratégie Options ATP.
Rule ID 4: Use GTI file reputation to identify trusted or malicious files
Rule ID 5: Use GTI URL reputation to identify trusted or malicious processes
Rule ID 239: Identify suspicious command parameter execution
Rule ID 240: Identify suspicious files with characteristics that have been predominantly seen in ransomware
Rule ID 255: Detect potentially obfuscated command-line parameters
Rule ID 263: Detect processes accessing suspicious URLs
Rule ID 300: Prevent office applications from starting child processes that can execute script commands
Rule ID 309: Block processes attempting to launch from Office applications.
Rule ID 312: Prevent email applications, such as Outlook, from spawning script editors and dual use tool
Rule ID 313: Prevent text editors like Notepad and WordPad from spawning processes that can execute script commands in all rule group assignments
Rule ID 316: Prevent PDF readers from starting processes that can execute scripts in all rule group assignments
Rule ID 318: Prevent PDF readers from starting cmd.exe
Rule ID 319: Prevent cmd.exe from starting other script interpreters such as cscript or PowerShell in all rule group assignments
Rule ID 323: Prevent mshta from being launched as a child process.
Rule ID 332: Prevent certutil.exe from downloading or decoding files with suspect extensions
Rule ID 341: Identify and block patterns being used in Ransomware attacks in security rule group assignments.
Rule ID 342: Identify and block patterns being used in Ransomware attacks
Rule ID 502: Detect new service creation
Rule ID 513: Detect commands used for copying files from a remote system
Rule ID 517: Prevent actor process with unknown reputations from launching processes in common system folders
Confinement d'application dynamique (DAC) ENS :le DAC est déclenché uniquement si la réputation du processus répond aux critères de réputation définis dans la politique Options ATP. Lorsqu'un processus est contenu par DAC, il est soumis à la surveillance post-exécution et à toutes les règles activées dans la stratégie DAC.
Rule: Deleting files commonly targeted by ransomware-class malware
Rule: Disabling critical operating system executables
Rule: Modifying appinit DLL registry entries
Rule: Modifying Image File Execution Options registry entries
Rule: Modifying screen saver settings
Rule: Modifying startup registry locations
Rule: Reading files commonly targeted by ransomware-class malware
Rule: Suspending a process
Rule: Terminating another process
Rule: Reading from another process' memory
Rule: Writing to files commonly targeted by ransomware-class malware
REMARQUE : Pour les meilleures pratiques, voir
KB87843 - Règles et meilleures pratiques de confinement d'application dynamique. Comme pour les règles de protection d'accès, testez toutes les règles DAC pour éviter les interruptions dans votre environnement.
ENS Threat Prevention Anti-Malware Scan Interface (AMSI) :Cliquez sur l'intégration avec AMSI. AMSI fournit une analyse de script améliorée. AMSI est une norme d'interface générique qui permet aux applications et aux services de s'intégrer à Threat Prevention, offrant une meilleure protection contre les logiciels malveillants. Microsoft fournit AMSI. AMSI est pris en charge sur les systèmes Windows 10 et Windows Server 2016 (et versions ultérieures). Utilisez AMSI pour améliorer l'analyse des menaces dans les scripts non basés sur un navigateur, tels que
PowerShell, WScriptet
CScript.
Prévention contre les exploits ENS :
Signature 344: New StartUp Creation
Signature 413: Suspicious Double File Extension Execution
Signature 428: Generic Buffer Overflow
Signature 6107: MS Word trying to execute unwanted programs
Signature 6108: Suspicious download string script execution
Signature 6113: Fileless Threat: Reflective Self Injection
Signature 6114: Fileless Threat: Reflective EXE Self Injection
Signature 6115: Fileless Threat: Reflective DLL Remote Injection
Signature 6116: Mimikatz LSASS Suspicious Memory Read
Signature 6117: Mimikatz LSASS Suspicious Memory DMP Read
Signature 6120: Fileless Threat: Process Hollowing
Signature 6121: Fileless Threat: Process Hollowing
Signature 6127: Suspicious LSASS Access from PowerShell
Signature 6131: Weaponized OLE object infection via WMI
Signature 6148: Malware Behavior: Windows EFS abuse
Signature 6153: Malware Behavior: Ryuk Ransomware activity detected
Signature 6155: Malicious Behavior: Directory Junction attempt detected
Règles expertes de prévention des exploits ENS :le référentiel Trellix Advanced Research Center
GitHub contient un ensemble d'exemples de règles expertes qui peuvent être directement utilisées avec ENS dans la politique de prévention des exploits. Les règles expertes ci-dessous sont spécifiques au ciblage des attaques de ransomware :
Detect_Deletion_Of_Shadow_Copies_Using_WMIC.EXE.md.txt
Detect_Suspicious_Usage_Of_VSSADMIN.EXE.md.txt
File_Block_Rclone (Deux scénarios sont prévus pour cette règle.)
Règles par défaut de protection d'accès ENS :
Browsers launching programs from downloaded programs file folders
Creating new executable file in the programs files folder
Creating new executable file in the windows folder
Disabling registry editor and task manager
Doppelganger attack on processes
Executing mimikatz malware
Executing scripts by windows script host
Remotely creating or modifying files or folders
Remotely creating or modifying PE,.INI and core system locations