Erkennung von Regeln zum Löschen von Schattenkopien

Viele unserer jüngsten Veröffentlichungen waren verschiedenen Ransomware-Stämmen gewidmet, und die Regeln zur Erkennung von Matrix-Ransomware-Merkmalen werden nicht dabei helfen, Ragnar Locker oder Maze zu identifizieren. Die Malware ändert sich ständig: Ihre Autoren ändern nicht nur die den Sicherheitsforschern bekannten IOCs, sondern auch das Verhalten, um die Inhalte zur Bedrohungssuche gegen ihre ‚Erfindungen‘ nutzlos zu machen. Bei moderner Ransomware ist fast alles anders: Infektionswege, Umgehung von Sicherheitslösungen, Deaktivierung von Prozessen, zusätzliche Funktionen und Persistenzmechanismen. Was sie vereint, ist nur die Dateiverschlüsselung (in einigen Fällen – ziemlich kreativ) und das Löschen von Schattenkopien.

Und das letzte „Feature“ ist das Thema, dem unser heutiger Mini-Digest gewidmet ist. Es gibt viele Möglichkeiten, Volumensicherungen zu entfernen oder zu beschädigen, und sowohl Sicherheitsforscher als auch Cyberkriminelle finden neue Methoden um es unmöglich zu machen, Daten nach einem Angriff wiederherzustellen. Das SOC Prime Team hat drei neue exklusive Bedrohungsjagd-Regeln veröffentlicht, um das Stampfen von Schattenkopien oder deren Löschung zu erkennen.

Möglicher Schattenkopie-Stomp (via imageload): https://tdm.socprime.com/tdm/info/9xzFEUJd0gNX/8GvGSnUBR-lx4sDxVANV/

Möglicher Schattenkopie-Stomp (via cmdline): https://tdm.socprime.com/tdm/info/r9H5KNdiuwhl/2K7FSnUBTwmKwLA9VMSM/

Mögliche Löschung von Schattenkopien (via powershell): https://tdm.socprime.com/tdm/info/23zs3NjeUSDA/jXPESnUBmo5uvpkjgSQ5/

Die Regeln dieser Sammlung haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Wirkung

Techniken: Systemwiederherstellung verhindern (T1490)

Sehen Sie sich auch andere Regeln an, die solche bösartigen Aktivitäten im Threat Detection Marketplace erkennen können: https://tdm.socprime.com/?logSourceTypes=&strictSearchActorTool=&mitreTagged=&contentViewType=&searchSubType=&searchValue=shadow+copies&searchProject=all&searchQueryFeatures=false

Bereit, den SOC Prime Threat Detection Marketplace auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei um Ihre eigenen Inhalte zu erstellen und mit der Threat Detection Marketplace Community zu teilen.