Reglas de Detección para el Borrado de Copias de Sombra

Muchas de nuestras publicaciones recientes se han dedicado a varias cepas de ransomware, y las reglas para detectar las características del ransomware Matrix no ayudarán a identificar Ragnar Locker o Maze. El malware está cambiando constantemente: sus autores cambian no solo los IOCs conocidos por los investigadores de seguridad, sino también el comportamiento para hacer inútil el contenido de caza de amenazas contra sus ‘invenciones’. En el ransomware moderno, casi todo es diferente: métodos de infección, evasión de soluciones de seguridad, desactivación de procesos, funciones adicionales y mecanismos de persistencia. Lo que los une es solo el cifrado de archivos (en algunos casos, de manera bastante creativa) y el borrado de las Copias de Sombra.

Y la última «característica» es el tema al que está dedicado nuestro mini-resumen de hoy. Hay muchas formas de eliminar o dañar las copias de respaldo de volumen, y los investigadores de seguridad y los ciberdelincuentes están encontrando nuevos métodos para hacer imposible recuperar los datos después de un ataque. El equipo de SOC Prime lanzó tres nuevas reglas exclusivas para detectar el pisoteo de las Copias de Sombra o su eliminación. to detect stomping Shadow Copies or their deletion.

Posible Pisoteo de Copias de Sombra (vía imageload): https://tdm.socprime.com/tdm/info/9xzFEUJd0gNX/8GvGSnUBR-lx4sDxVANV/

Posible Pisoteo de Copias de Sombra (vía cmdline): https://tdm.socprime.com/tdm/info/r9H5KNdiuwhl/2K7FSnUBTwmKwLA9VMSM/

Posible Eliminación de Copias de Sombra (vía powershell): https://tdm.socprime.com/tdm/info/23zs3NjeUSDA/jXPESnUBmo5uvpkjgSQ5/

Las reglas de esta colección tienen traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Impacto

Técnicas: Inhibir la Recuperación del Sistema (T1490)

Además, revise otras reglas que puedan detectar dicha actividad maliciosa en el Threat Detection Marketplace: https://tdm.socprime.com/?logSourceTypes=&strictSearchActorTool=&mitreTagged=&contentViewType=&searchSubType=&searchValue=shadow+copies&searchProject=all&searchQueryFeatures=false

¿Listo para probar el Threat Detection Marketplace de SOC Prime? Regístrese gratis. O únase al Programa de Recompensas de Amenazas para crear su propio contenido y compartirlo con la comunidad del Threat Detection Marketplace.