Contramedidas para famílias comuns de ransomware

Artigos técnicos ID: KB96146
Última modificação: 2023-07-14 03:18:05 Etc/GMT

Ambiente

Endpoint Security (ENS) 10.x

Resumo

Este artigo da base de conhecimento visa fornecer outra camada de defesa contra uma indústria de malware altamente profissional e com fins lucrativos que está constantemente inovando e tentando contornar medidas de segurança conhecidas ou explorar sistemas não seguros ou desatualizados.

OBSERVAÇÃO: o uso de regras conforme detalhado na seção "Soluções" abaixo provou ser eficaz para interromper ou reduzir o impacto de muitas variantes atuais e novas dessas ameaças. Antes de implementar as recomendações abaixo, é essencial que você teste as regras minuciosamente para garantir sua integridade e que nenhum aplicativo legítimo, desenvolvido internamente ou não, seja impedido de funcionar em seu ambiente de produção.

Problema

Os agentes de ameaças continuam a criar variantes de ransomware e retrabalhar as variantes existentes para passar pelas defesas de segurança. Essas novas atualizações são constantemente testadas em produtos de segurança. A vigilância é necessária para prevalecer contra o ransomware à medida que novas variantes surgem com comportamentos semelhantes.

Segmentar o ransomware em si pode ser um desafio devido à evolução drástica do cenário de novas variantes. A melhor abordagem para combater o ransomware inclui uma combinação de detecção comportamental via JTI/ATP, Dynamic Application Containment (DAC), análise estática e dinâmica por meio dos Real Protect Scanners, Exploit Prevention/Expert Rules e Global Threat Intelligence (GTI) File Reputation. Porém, é sempre melhor direcionar ameaças de vetor de entrada para reforçar melhor sua postura de segurança.

Solução 1

O combate ao ransomware pode ser alcançado por meio de várias medidas de segurança. As melhores medidas que você pode implementar são contramedidas proativas que visam ameaças de vetores de entrada. Se você for bem-sucedido na prevenção dessas ameaças de primeiro estágio/vetor de entrada, o segundo estágio e os estágios posteriores de malware, como ransomware, poderão ser evitados. Para obter recomendações sobre uma abordagem de segurança em camadas para evitar uma violação bem-sucedida dessas ameaças de vetores de entrada, consulte KB91836 - Contramedidas para ameaças de vetores de entrada.

Solução 2

As regras de proteção de acesso podem ser outra forma de segurança que visa as extensões de arquivo criptografadas de um ransomware. Ao impedir a execução, gravação, exclusão etc. da extensão do arquivo criptografado, as regras têm a chance de quebrar a rotina de criptografia. Mas você não pode bloquear toda a criptografia de ransomware dessa maneira. Isso pode acabar excluindo o arquivo do sistema completamente ou impedindo que o arquivo seja renomeado enquanto ainda é criptografado, entre outros resultados inesperados. Portanto, tenha cuidado com essa abordagem.

Solução 3

Ao identificar padrões semelhantes de comportamento em diferentes variantes, criamos algumas regras proativas para nossos produtos Endpoint: Endpoint Security (ENS) e Trellix Endpoint (anteriormente MVISION Endpoint). Essas regras pretendem impedir efetivamente a instalação ou a carga útil de novas variantes históricas, atuais e em evolução dessas ameaças.

Nos testes de suporte interno, descobrimos que as seguintes contramedidas ENS são eficazes contra vários tipos de ataques de ransomware:

ENS Adaptive Threat Protection Regras JTI (ATP):
ative ou desative as configurações para as regras abaixo no servidor ePolicy Orchestrator (ePO) Configurações em Proteção adaptativa contra ameaças. Existem três configurações diferentes: Produtividade, Equilibrado e Segurança. As alterações feitas nas configurações do servidor se aplicam às atribuições de grupo de regras na política de opções de ATP.

Rule ID 4: Use GTI file reputation to identify trusted or malicious files
Rule ID 5: Use GTI URL reputation to identify trusted or malicious processes
Rule ID 239: Identify suspicious command parameter execution
Rule ID 240: Identify suspicious files with characteristics that have been predominantly seen in ransomware
Rule ID 255: Detect potentially obfuscated command-line parameters
Rule ID 263: Detect processes accessing suspicious URLs
Rule ID 300: Prevent office applications from starting child processes that can execute script commands
Rule ID 309: Block processes attempting to launch from Office applications.
Rule ID 312: Prevent email applications, such as Outlook, from spawning script editors and dual use tool
Rule ID 313: Prevent text editors like Notepad and WordPad from spawning processes that can execute script commands in all rule group assignments
Rule ID 316: Prevent PDF readers from starting processes that can execute scripts in all rule group assignments
Rule ID 318: Prevent PDF readers from starting cmd.exe
Rule ID 319: Prevent cmd.exe from starting other script interpreters such as cscript or PowerShell in all rule group assignments
Rule ID 323: Prevent mshta from being launched as a child process.
Rule ID 332: Prevent certutil.exe from downloading or decoding files with suspect extensions
Rule ID 341: Identify and block patterns being used in Ransomware attacks in security rule group assignments.
Rule ID 342: Identify and block patterns being used in Ransomware attacks
Rule ID 502: Detect new service creation
Rule ID 513: Detect commands used for copying files from a remote system
Rule ID 517: Prevent actor process with unknown reputations from launching processes in common system folders

ENS Dynamic Application Containment (DAC):
o DAC é acionado somente se a reputação do processo atender aos critérios de reputação definidos na política de opções de ATP. Quando um processo está contido no DAC, ele está sujeito ao monitoramento pós-execução e a quaisquer regras habilitadas na política do DAC.

Rule: Deleting files commonly targeted by ransomware-class malware
Rule: Disabling critical operating system executables
Rule: Modifying appinit DLL registry entries
Rule: Modifying Image File Execution Options registry entries
Rule: Modifying screen saver settings
Rule: Modifying startup registry locations
Rule: Reading files commonly targeted by ransomware-class malware
Rule: Suspending a process
Rule: Terminating another process
Rule: Reading from another process' memory
Rule: Writing to files commonly targeted by ransomware-class malware

NOTA: Para obter as práticas recomendadas, consulte KB87843 - Regras e práticas recomendadas de contenção dinâmica de aplicativos. Semelhante às regras de proteção de acesso, teste todas as regras DAC para evitar interrupções em seu ambiente.

ENS Threat Prevention Anti-Malware Scan Interface (AMSI):
Habilite a integração com AMSI. AMSI fornece varredura de script aprimorada. A AMSI é um padrão de interface genérica que permite a integração de aplicativos e serviços com a Prevenção contra ameaças, proporcionando uma melhor proteção contra malware. A Microsoft fornece AMSI. O AMSI é compatível com os sistemas Windows 10 e Windows Server 2016 (e posteriores). Use AMSI para aprimorar a verificação de ameaças em scripts não baseados em navegador, como PowerShell, WScripte CScript.

Prevenção de Exploit ENS:

Signature 344: New StartUp Creation
Signature 413: Suspicious Double File Extension Execution
Signature 428: Generic Buffer Overflow
Signature 6107: MS Word trying to execute unwanted programs
Signature 6108: Suspicious download string script execution
Signature 6113: Fileless Threat: Reflective Self Injection
Signature 6114: Fileless Threat: Reflective EXE Self Injection
Signature 6115: Fileless Threat: Reflective DLL Remote Injection
Signature 6116: Mimikatz LSASS Suspicious Memory Read
Signature 6117: Mimikatz LSASS Suspicious Memory DMP Read
Signature 6120: Fileless Threat: Process Hollowing
Signature 6121: Fileless Threat: Process Hollowing
Signature 6127: Suspicious LSASS Access from PowerShell
Signature 6131: Weaponized OLE object infection via WMI
Signature 6148: Malware Behavior: Windows EFS abuse
Signature 6153: Malware Behavior: Ryuk Ransomware activity detected
Signature 6155: Malicious Behavior: Directory Junction attempt detected

Regras de especialista em prevenção de exploração do ENS:
O repositório Trellix Advanced Research Center GitHub contém um conjunto de amostras de regras de especialista que podem ser usadas diretamente com o ENS na política de prevenção de exploração. As regras do especialista abaixo são específicas para direcionar ataques de ransomware:

Regras para especialistas sugeridaspelo repositório GitHub

:

Detect_Deletion_Of_Shadow_Copies_Using_WMIC.EXE.md.txt
Detect_Suspicious_Usage_Of_VSSADMIN.EXE.md.txt
File_Block_Rclone (Dois cenários fornecidos para esta regra.)

Regras padrão de proteção de acesso do ENS:

Browsers launching programs from downloaded programs file folders
Creating new executable file in the programs files folder
Creating new executable file in the windows folder
Disabling registry editor and task manager
Doppelganger attack on processes
Executing mimikatz malware
Executing scripts by windows script host
Remotely creating or modifying files or folders
Remotely creating or modifying PE,.INI and core system locations

Informações relacionadas

As seguintes publicações da Trellix fornecem vários pontos de dados sobre as famílias de ransomware como um todo:

O que é Ransomware?
Quando o ransomware viola seu ambiente com sucesso, KB89805 - Como responder a uma infecção por ransomware fornece orientações gerais para os socorristas durante um surto de ransomware.
As técnicas de criptografia usadas em cargas de ransomware dificultam ou impossibilitam a recuperação dos arquivos criptografados. Uma vez executada, a chave privada necessária geralmente está disponível apenas para o autor. Para descriptografia, você pode usar a ferramenta No More Ransom project ou Trellix Ransomware Recover para determinar se as chaves e a lógica de descriptografia estão disponíveis. O No More Ransom Project é uma colaboração entre vários fornecedores de segurança, portanto, é o mais provável para descriptografia. No More Ransom permite o upload de arquivos criptografados, a nota do ransomware e quaisquer artefatos (e-mail, URL do site, cebola ou endereço bitcoin) listados na demanda de resgate, para determinar se uma ferramenta de descriptografia está disponível.

Recomendações adicionais para se defender contra ransomware:

Conscientização e treinamento de segurança:
- Simule uma campanha de phishing e spam para conscientizar sobre a segurança daqueles indivíduos que caem em ataques de engenharia social.
- Não abra anexos de arquivos ou inicie links suspeitos, a menos que solicitado pelo remetente. Visualize o cabeçalho do e-mail ou envie um e-mail separado para validar o remetente antes de abrir os anexos.
- Relate o e-mail suspeito ao Security Operations Center da organização. Lembre seus funcionários sobre como e onde enviar emails suspeitos com segurança.
Faça backup de seus dados
Proteja seus backups
Use software de segurança e mantenha-o atualizado
Pratique um surf seguro
Use apenas redes seguras
Mantenha-se informado

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Produtos afetados

Idiomas:

Este artigo está disponível nos seguintes idiomas:

Knowledge Center

Contramedidas para famílias comuns de ransomware

Ambiente

Resumo

Problema

Solução 1

Solução 2

Solução 3

Informações relacionadas

Aviso de isenção de responsabilidade

Produtos afetados

Idiomas:

Title

Title

Knowledge Center

Contramedidas para famílias comuns de ransomware

Ambiente

Resumo

Problema

Solução 1

Solução 2

Solução 3

Informações relacionadas

Aviso de isenção de responsabilidade

Produtos afetados

Idiomas:

Escolha a sua região

Title

Title