Contramedidas para familias de ransomware comunes
Última modificación: 2023-07-14 03:17:42 Etc/GMT
Descargo de responsabilidad
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
Découvrez comment un écosystème XDR qui s'adapte en permanence peut dynamiser votre entreprise.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
Descargue el informe Magic Quadrant, que evalúa a los 19 proveedores en función de su amplitud de visión y capacidad de ejecución.
Según Gartner, "XDR es una tecnología emergente que ofrece funciones mejoradas de prevención, detección y respuesta a amenazas.".
¿A qué amenazas de ciberseguridad deberían prestar atención las empresas durante 2022?
En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Dos líderes reconocidos del mercado de la ciberseguridad han unido fuerzas para crear un mundo digital resiliente.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
After December 1, 2024, please log in to the Thrive Portal for support, knowledge articles, tools, and downloads. For information about using the Thrive Portal, view the Trellix Thrive Portal User Guide.
Contramedidas para familias de ransomware comunes
Artículos técnicos ID:
KB96146
Última modificación: 2023-07-14 03:17:42 Etc/GMT Entorno
Endpoint Security (ENS) 10.x
Resumen
Este artículo de KB tiene como objetivo proporcionar otra capa de defensa contra una industria de malware altamente profesional y con fines de lucro que está constantemente innovando y tratando de eludir las medidas de seguridad conocidas o explotar sistemas no seguros u obsoletos.
NOTA: El uso de reglas como se detalla en la sección "Soluciones" a continuación ha demostrado ser eficaz para detener o reducir el impacto de muchas variantes actuales y nuevas de estas amenazas. Antes de implementar las recomendaciones a continuación, es esencial que pruebe las reglas a fondo para garantizar su integridad y que ninguna aplicación legítima, desarrollada internamente o de otra manera, se vea impedida de funcionar en su entorno de producción. Problema
Los actores de amenazas continúan creando variantes de ransomware y modifican las variantes existentes para atravesar las defensas de seguridad. Estas nuevas actualizaciones se prueban constantemente con los productos de seguridad. Se necesita vigilancia para prevalecer contra el ransomware a medida que surgen nuevas variantes con comportamientos similares. Apuntar al ransomware en sí mismo puede ser un desafío debido al panorama en evolución drástica de nuevas variantes. El mejor enfoque para combatir el ransomware incluye una combinación de detección de comportamiento a través de JTI/ATP, contención dinámica de aplicaciones (DAC), análisis estático y dinámico a través de Real Protect Scanners, prevención de exploits/reglas de expertos y reputación de archivos de Global Threat Intelligence (GTI). Sin embargo, siempre es mejor apuntar a las amenazas de vector de entrada para reforzar mejor su postura de seguridad. Solución 1
La lucha contra el ransomware se puede lograr a través de varias medidas de seguridad. Las mejores medidas que puede implementar son las contramedidas proactivas que apuntan a las amenazas de vectores de entrada. Si tiene éxito en la prevención de estas amenazas de vector de entrada/primera etapa, se pueden prevenir las etapas segunda y posterior del malware, como el ransomware. Para obtener recomendaciones sobre un enfoque de seguridad en capas para prevenir una infracción exitosa de estas amenazas de vector de entrada, consulte KB91836: Contramedidas para amenazas de vector de entrada.
Solución 2
Las reglas de protección de acceso pueden ser otra forma de seguridad dirigida a las extensiones de archivos cifrados de un ransomware. Al evitar la ejecución, escritura, eliminación, etc. de la extensión del archivo encriptado, las reglas tienen la posibilidad de romper la rutina de encriptación. Pero no puede bloquear todo el cifrado de ransomware de esta manera. Podría terminar eliminando el archivo del sistema por completo o evitando que se cambie el nombre del archivo mientras aún se cifra, entre otros resultados inesperados. Por lo tanto, tenga cuidado con este enfoque.
Solución 3
Al identificar patrones de comportamiento similares dentro de diferentes variantes, hemos elaborado algunas reglas proactivas para nuestros productos Endpoint: Endpoint Security (ENS) y Trellix Endpoint (anteriormente MVISION Endpoint). Estas reglas pretenden prevenir de manera efectiva la instalación o la carga útil de nuevas variantes históricas, actuales y en evolución de estas amenazas. A partir de las pruebas internas de soporte, hemos encontrado las siguientes contramedidas de ENS efectivas contra varios tipos de ataques de ransomware: Reglas JTI (ATP) de ENS Adaptive Threat Protection: habilite o deshabilite la configuración para las reglas a continuación dentro del servidor ePolicy Orchestrator (ePO) Configuración en Protección adaptable frente a amenazas. Hay tres configuraciones diferentes: Productividad, Equilibrado y Seguridad. Los cambios realizados en la configuración del servidor se aplican a las asignaciones de grupos de reglas en la política de opciones de ATP. Rule ID 5: Use GTI URL reputation to identify trusted or malicious processes Rule ID 239: Identify suspicious command parameter execution Rule ID 240: Identify suspicious files with characteristics that have been predominantly seen in ransomware Rule ID 255: Detect potentially obfuscated command-line parameters Rule ID 263: Detect processes accessing suspicious URLs Rule ID 300: Prevent office applications from starting child processes that can execute script commands Rule ID 309: Block processes attempting to launch from Office applications. Rule ID 312: Prevent email applications, such as Outlook, from spawning script editors and dual use tool Rule ID 313: Prevent text editors like Notepad and WordPad from spawning processes that can execute script commands in all rule group assignments Rule ID 316: Prevent PDF readers from starting processes that can execute scripts in all rule group assignments Rule ID 318: Prevent PDF readers from starting cmd.exe Rule ID 319: Prevent cmd.exe from starting other script interpreters such as cscript or PowerShell in all rule group assignments Rule ID 323: Prevent mshta from being launched as a child process. Rule ID 332: Prevent certutil.exe from downloading or decoding files with suspect extensions Rule ID 341: Identify and block patterns being used in Ransomware attacks in security rule group assignments. Rule ID 342: Identify and block patterns being used in Ransomware attacks Rule ID 502: Detect new service creation Rule ID 513: Detect commands used for copying files from a remote system Rule ID 517: Prevent actor process with unknown reputations from launching processes in common system folders Contención dinámica de aplicaciones (DAC) de ENS: DAC se activa solo si la reputación del proceso cumple con los criterios de reputación definidos en la política de opciones de ATP. Cuando un proceso está contenido en DAC, está sujeto a la supervisión posterior a la ejecución y a cualquier regla habilitada dentro de la política de DAC. Rule: Disabling critical operating system executables Rule: Modifying appinit DLL registry entries Rule: Modifying Image File Execution Options registry entries Rule: Modifying screen saver settings Rule: Modifying startup registry locations Rule: Reading files commonly targeted by ransomware-class malware Rule: Suspending a process Rule: Terminating another process Rule: Reading from another process' memory Rule: Writing to files commonly targeted by ransomware-class malware NOTA: Para conocer las prácticas recomendadas, consulte KB87843: Reglas y prácticas recomendadas de contención dinámica de aplicaciones. De forma similar a las reglas de protección de acceso, pruebe todas las reglas DAC para evitar interrupciones en su entorno. Interfaz de exploración antimalware (AMSI) de prevención de amenazas de ENS: habilite la integración con AMSI. AMSI proporciona escaneo de secuencias de comandos mejorado. AMSI es un estándar de interfaz genérica que permite que las aplicaciones y servicios puedan integrarse con Prevención de amenazas, que proporciona una mejor protección contra el malware. Microsoft proporciona AMSI. AMSI es compatible con los sistemas Windows 10 y Windows Server 2016 (y posteriores). Utilice AMSI para mejorar el análisis de amenazas en secuencias de comandos no basadas en navegador, como Exploit Prevention de ENS: Signature 413: Suspicious Double File Extension Execution Signature 428: Generic Buffer Overflow Signature 6107: MS Word trying to execute unwanted programs Signature 6108: Suspicious download string script execution Signature 6113: Fileless Threat: Reflective Self Injection Signature 6114: Fileless Threat: Reflective EXE Self Injection Signature 6115: Fileless Threat: Reflective DLL Remote Injection Signature 6116: Mimikatz LSASS Suspicious Memory Read Signature 6117: Mimikatz LSASS Suspicious Memory DMP Read Signature 6120: Fileless Threat: Process Hollowing Signature 6121: Fileless Threat: Process Hollowing Signature 6127: Suspicious LSASS Access from PowerShell Signature 6131: Weaponized OLE object infection via WMI Signature 6148: Malware Behavior: Windows EFS abuse Signature 6153: Malware Behavior: Ryuk Ransomware activity detected Signature 6155: Malicious Behavior: Directory Junction attempt detected Reglas expertas de prevención de exploits de ENS: el repositorio del Centro de investigación avanzada de Trellix Detect_Suspicious_Usage_Of_VSSADMIN.EXE.md.txt File_Block_Rclone Reglas predeterminadas de protección de acceso de ENS: Creating new executable file in the programs files folder Creating new executable file in the windows folder Disabling registry editor and task manager Doppelganger attack on processes Executing mimikatz malware Executing scripts by windows script host Remotely creating or modifying files or folders Remotely creating or modifying PE,.INI and core system locations Información relacionada
Las siguientes publicaciones de Trellix proporcionan varios puntos de datos sobre las familias de ransomware en su conjunto:
Recomendaciones adicionales para defenderse del ransomware:
Descargo de responsabilidadEl contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicadosIdiomas:Este artículo se encuentra disponible en los siguientes idiomas: |
|