Identificando modelli di comportamento simili all'interno di diverse varianti, abbiamo creato alcune regole proattive per i nostri prodotti Endpoint: Endpoint Security (ENS) e Trellix Endpoint (precedentemente MVISION Endpoint). Queste regole intendono prevenire efficacemente l'installazione o il payload di nuove varianti storiche, attuali e in evoluzione di queste minacce.
Dai test del supporto interno, abbiamo riscontrato che le seguenti contromisure ENS sono efficaci contro diversi tipi di attacchi ransomware:
ENS Adaptive Threat Protection Regole JTI (ATP):abilita o disabilita le impostazioni per le regole seguenti all'interno del server ePolicy Orchestrator (ePO) Impostazioni in Protezione adattiva dalle minacce. Sono disponibili tre diverse configurazioni: Produttività, Bilanciato e Sicurezza. Le modifiche apportate in Impostazioni server si applicano alle assegnazioni di gruppi di regole nel criterio Opzioni ATP.
Rule ID 4: Use GTI file reputation to identify trusted or malicious files
Rule ID 5: Use GTI URL reputation to identify trusted or malicious processes
Rule ID 239: Identify suspicious command parameter execution
Rule ID 240: Identify suspicious files with characteristics that have been predominantly seen in ransomware
Rule ID 255: Detect potentially obfuscated command-line parameters
Rule ID 263: Detect processes accessing suspicious URLs
Rule ID 300: Prevent office applications from starting child processes that can execute script commands
Rule ID 309: Block processes attempting to launch from Office applications.
Rule ID 312: Prevent email applications, such as Outlook, from spawning script editors and dual use tool
Rule ID 313: Prevent text editors like Notepad and WordPad from spawning processes that can execute script commands in all rule group assignments
Rule ID 316: Prevent PDF readers from starting processes that can execute scripts in all rule group assignments
Rule ID 318: Prevent PDF readers from starting cmd.exe
Rule ID 319: Prevent cmd.exe from starting other script interpreters such as cscript or PowerShell in all rule group assignments
Rule ID 323: Prevent mshta from being launched as a child process.
Rule ID 332: Prevent certutil.exe from downloading or decoding files with suspect extensions
Rule ID 341: Identify and block patterns being used in Ransomware attacks in security rule group assignments.
Rule ID 342: Identify and block patterns being used in Ransomware attacks
Rule ID 502: Detect new service creation
Rule ID 513: Detect commands used for copying files from a remote system
Rule ID 517: Prevent actor process with unknown reputations from launching processes in common system folders
ENS Dynamic Application Containment (DAC):DAC viene attivato solo se la reputazione del processo soddisfa i criteri di reputazione definiti nei criteri delle opzioni ATP. Quando un processo è contenuto da DAC, è soggetto al monitoraggio post-esecuzione e a tutte le regole abilitate all'interno del criterio DAC.
Rule: Deleting files commonly targeted by ransomware-class malware
Rule: Disabling critical operating system executables
Rule: Modifying appinit DLL registry entries
Rule: Modifying Image File Execution Options registry entries
Rule: Modifying screen saver settings
Rule: Modifying startup registry locations
Rule: Reading files commonly targeted by ransomware-class malware
Rule: Suspending a process
Rule: Terminating another process
Rule: Reading from another process' memory
Rule: Writing to files commonly targeted by ransomware-class malware
NOTA: per le best practice, vedere
KB87843 - Regole e best practice per il contenimento dinamico delle applicazioni. Analogamente alle regole di protezione dell'accesso, testa tutte le regole DAC per evitare interruzioni nel tuo ambiente.
ENS Threat Prevention antimalware Scan Interface (AMSI):abilita l'integrazione con AMSI. AMSI fornisce una scansione avanzata degli script. AMSI è uno standard di interfaccia generico che consente ad applicazioni e servizi di integrarsi con Prevenzione delle minacce per offrire una protezione superiore contro il malware. Microsoft fornisce AMSI. AMSI è supportato sui sistemi Windows 10 e Windows Server 2016 (e versioni successive). Utilizza AMSI per migliorare la scansione delle minacce negli script non basati su browser, come
PowerShell, WScripte
CScript.
Prevenzione degli exploit ENS:
Signature 344: New StartUp Creation
Signature 413: Suspicious Double File Extension Execution
Signature 428: Generic Buffer Overflow
Signature 6107: MS Word trying to execute unwanted programs
Signature 6108: Suspicious download string script execution
Signature 6113: Fileless Threat: Reflective Self Injection
Signature 6114: Fileless Threat: Reflective EXE Self Injection
Signature 6115: Fileless Threat: Reflective DLL Remote Injection
Signature 6116: Mimikatz LSASS Suspicious Memory Read
Signature 6117: Mimikatz LSASS Suspicious Memory DMP Read
Signature 6120: Fileless Threat: Process Hollowing
Signature 6121: Fileless Threat: Process Hollowing
Signature 6127: Suspicious LSASS Access from PowerShell
Signature 6131: Weaponized OLE object infection via WMI
Signature 6148: Malware Behavior: Windows EFS abuse
Signature 6153: Malware Behavior: Ryuk Ransomware activity detected
Signature 6155: Malicious Behavior: Directory Junction attempt detected
Regole dell'esperto per la prevenzione degli exploit ENS:il repository Trellix Advanced Research Center
GitHub contiene una serie di esempi di regole dell'esperto che possono essere utilizzati direttamente con ENS nella politica di prevenzione degli exploit. Le Regole dell'esperto riportate di seguito sono specifiche per il targeting degli attacchi ransomware:
Detect_Deletion_Of_Shadow_Copies_Using_WMIC.EXE.md.txt
Detect_Suspicious_Usage_Of_VSSADMIN.EXE.md.txt
File_Block_Rclone (Due scenari previsti per questa regola.)
Regole predefinite per la protezione dell'accesso ENS:
Browsers launching programs from downloaded programs file folders
Creating new executable file in the programs files folder
Creating new executable file in the windows folder
Disabling registry editor and task manager
Doppelganger attack on processes
Executing mimikatz malware
Executing scripts by windows script host
Remotely creating or modifying files or folders
Remotely creating or modifying PE,.INI and core system locations