Contromisure per famiglie di ransomware comuni
Ultima modifica: 2023-07-14 03:17:35 Etc/GMT
Dichiarazione di non responsabilità
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue:
Trellix CEO, Bryan Palma, explains the critical need for security that’s always learning.
As per Gartner, "XDR is an emerging technology that can offer improved threat prevention, detection and response."
Trellix announced the establishment of the Trellix Advanced Research Center to advance global threat intelligence.
Trellix Advanced Research Center analyzes threat data on ransomware, nation-states, sectors, vectors, LotL, MITRE ATT&CK techniques, and emails.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Contromisure per famiglie di ransomware comuni
Articoli tecnici ID:
KB96146
Ultima modifica: 2023-07-14 03:17:35 Etc/GMT Ambiente
Endpoint Security (ENS)10.x
Riepilogo
Questo articolo della KB mira a fornire un ulteriore livello di difesa contro un'industria del malware a scopo di lucro altamente professionale che è costantemente innovativa e cerca di aggirare misure di sicurezza note o sfruttare sistemi non protetti o obsoleti.
NOTA: l'uso delle regole descritte in dettaglio nella sezione "Soluzioni" di seguito si è dimostrato efficace nell'arrestare o ridurre l'impatto di molte varianti attuali e nuove di queste minacce. Prima di implementare le raccomandazioni riportate di seguito, è essenziale testare accuratamente le regole per garantirne l'integrità e che a nessuna applicazione legittima, sviluppata internamente o di altro tipo, venga impedito il funzionamento nell'ambiente di produzione. Problema
Gli attori delle minacce continuano a creare varianti di ransomware e rielaborare le varianti esistenti per superare le difese di sicurezza. Questi nuovi aggiornamenti vengono costantemente testati rispetto ai prodotti di sicurezza. È necessaria la vigilanza per prevalere contro il ransomware poiché si vedono emergere nuove varianti con comportamenti simili. Prendere di mira il ransomware stesso può essere difficile a causa del panorama in drastica evoluzione delle nuove varianti. L'approccio migliore per combattere il ransomware include una combinazione di rilevamento comportamentale tramite JTI/ATP, Dynamic Application Containment (DAC), analisi statica e dinamica tramite Real Protect Scanner, Exploit Prevention/Expert Rules e Global Threat Intelligence (GTI) File Reputation. Tuttavia, è sempre meglio prendere di mira le minacce del vettore di ingresso per rafforzare meglio il proprio livello di sicurezza. Soluzione 1
La lotta contro il ransomware può essere raggiunta attraverso diverse misure di sicurezza. Le migliori misure che puoi mettere in atto sono contromisure proattive che prendono di mira le minacce del vettore di ingresso. Se si riesce a prevenire queste minacce vettoriali/di prima fase, è possibile prevenire la seconda e le successive fasi del malware, come il ransomware. Per consigli su un approccio di sicurezza a più livelli per prevenire una violazione riuscita da queste minacce del vettore di ingresso, vedere KB91836 - Contromisure per le minacce del vettore di ingresso.
Soluzione 2
Le regole di protezione dell'accesso possono essere un'altra forma di sicurezza che prende di mira le estensioni di file crittografate di un ransomware. Impedendo l'esecuzione, la scrittura, l'eliminazione, ecc. dell'estensione del file crittografato, le regole hanno la possibilità di violare la routine di crittografia. Ma non puoi bloccare tutta la crittografia ransomware in questo modo. Potrebbe finire per eliminare del tutto il file dal sistema o impedire che il file venga rinominato mentre viene ancora crittografato, tra gli altri risultati imprevisti. Quindi, fai attenzione con questo approccio.
Soluzione 3
Identificando modelli di comportamento simili all'interno di diverse varianti, abbiamo creato alcune regole proattive per i nostri prodotti Endpoint: Endpoint Security (ENS) e Trellix Endpoint (precedentemente MVISION Endpoint). Queste regole intendono prevenire efficacemente l'installazione o il payload di nuove varianti storiche, attuali e in evoluzione di queste minacce. Dai test del supporto interno, abbiamo riscontrato che le seguenti contromisure ENS sono efficaci contro diversi tipi di attacchi ransomware: ENS Adaptive Threat Protection Regole JTI (ATP): abilita o disabilita le impostazioni per le regole seguenti all'interno del server ePolicy Orchestrator (ePO) Impostazioni in Protezione adattiva dalle minacce. Sono disponibili tre diverse configurazioni: Produttività, Bilanciato e Sicurezza. Le modifiche apportate in Impostazioni server si applicano alle assegnazioni di gruppi di regole nel criterio Opzioni ATP. Rule ID 5: Use GTI URL reputation to identify trusted or malicious processes Rule ID 239: Identify suspicious command parameter execution Rule ID 240: Identify suspicious files with characteristics that have been predominantly seen in ransomware Rule ID 255: Detect potentially obfuscated command-line parameters Rule ID 263: Detect processes accessing suspicious URLs Rule ID 300: Prevent office applications from starting child processes that can execute script commands Rule ID 309: Block processes attempting to launch from Office applications. Rule ID 312: Prevent email applications, such as Outlook, from spawning script editors and dual use tool Rule ID 313: Prevent text editors like Notepad and WordPad from spawning processes that can execute script commands in all rule group assignments Rule ID 316: Prevent PDF readers from starting processes that can execute scripts in all rule group assignments Rule ID 318: Prevent PDF readers from starting cmd.exe Rule ID 319: Prevent cmd.exe from starting other script interpreters such as cscript or PowerShell in all rule group assignments Rule ID 323: Prevent mshta from being launched as a child process. Rule ID 332: Prevent certutil.exe from downloading or decoding files with suspect extensions Rule ID 341: Identify and block patterns being used in Ransomware attacks in security rule group assignments. Rule ID 342: Identify and block patterns being used in Ransomware attacks Rule ID 502: Detect new service creation Rule ID 513: Detect commands used for copying files from a remote system Rule ID 517: Prevent actor process with unknown reputations from launching processes in common system folders ENS Dynamic Application Containment (DAC): DAC viene attivato solo se la reputazione del processo soddisfa i criteri di reputazione definiti nei criteri delle opzioni ATP. Quando un processo è contenuto da DAC, è soggetto al monitoraggio post-esecuzione e a tutte le regole abilitate all'interno del criterio DAC. Rule: Disabling critical operating system executables Rule: Modifying appinit DLL registry entries Rule: Modifying Image File Execution Options registry entries Rule: Modifying screen saver settings Rule: Modifying startup registry locations Rule: Reading files commonly targeted by ransomware-class malware Rule: Suspending a process Rule: Terminating another process Rule: Reading from another process' memory Rule: Writing to files commonly targeted by ransomware-class malware NOTA: per le best practice, vedere KB87843 - Regole e best practice per il contenimento dinamico delle applicazioni. Analogamente alle regole di protezione dell'accesso, testa tutte le regole DAC per evitare interruzioni nel tuo ambiente. ENS Threat Prevention antimalware Scan Interface (AMSI): abilita l'integrazione con AMSI. AMSI fornisce una scansione avanzata degli script. AMSI è uno standard di interfaccia generico che consente ad applicazioni e servizi di integrarsi con Prevenzione delle minacce per offrire una protezione superiore contro il malware. Microsoft fornisce AMSI. AMSI è supportato sui sistemi Windows 10 e Windows Server 2016 (e versioni successive). Utilizza AMSI per migliorare la scansione delle minacce negli script non basati su browser, come Prevenzione degli exploit ENS: Signature 413: Suspicious Double File Extension Execution Signature 428: Generic Buffer Overflow Signature 6107: MS Word trying to execute unwanted programs Signature 6108: Suspicious download string script execution Signature 6113: Fileless Threat: Reflective Self Injection Signature 6114: Fileless Threat: Reflective EXE Self Injection Signature 6115: Fileless Threat: Reflective DLL Remote Injection Signature 6116: Mimikatz LSASS Suspicious Memory Read Signature 6117: Mimikatz LSASS Suspicious Memory DMP Read Signature 6120: Fileless Threat: Process Hollowing Signature 6121: Fileless Threat: Process Hollowing Signature 6127: Suspicious LSASS Access from PowerShell Signature 6131: Weaponized OLE object infection via WMI Signature 6148: Malware Behavior: Windows EFS abuse Signature 6153: Malware Behavior: Ryuk Ransomware activity detected Signature 6155: Malicious Behavior: Directory Junction attempt detected Regole dell'esperto per la prevenzione degli exploit ENS: il repository Trellix Advanced Research Center Detect_Suspicious_Usage_Of_VSSADMIN.EXE.md.txt File_Block_Rclone Regole predefinite per la protezione dell'accesso ENS: Creating new executable file in the programs files folder Creating new executable file in the windows folder Disabling registry editor and task manager Doppelganger attack on processes Executing mimikatz malware Executing scripts by windows script host Remotely creating or modifying files or folders Remotely creating or modifying PE,.INI and core system locations Informazioni correlate
Le seguenti pubblicazioni Trellix forniscono diversi punti dati sulle famiglie di ransomware nel loro insieme:
Raccomandazioni aggiuntive per difendersi dal ransomware:
Dichiarazione di non responsabilitàIl contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessatiLingue:Questo articolo è disponibile nelle seguenti lingue: |
|