Règles de Détection de l’Effacement des Copies de l’Ombre

Beaucoup de nos publications récentes ont été consacrées à diverses souches de ransomware, et les règles pour détecter les caractéristiques du ransomware Matrix ne permettront pas d’identifier Ragnar Locker ou Maze. Le malware évolue constamment : ses auteurs changent non seulement les IOCs connus des chercheurs en sécurité mais aussi le comportement pour rendre le contenu de la chasse aux menaces inutile contre leurs ‘inventions’. Dans les ransomwares modernes, presque tout est différent : méthodes d’infection, contournement des solutions de sécurité, désactivation des processus, fonctions supplémentaires et mécanismes de persistance. Ce qui les unit, c’est uniquement le chiffrement des fichiers (dans certains cas – de manière assez créative) et l’effacement des copies de sauvegarde.

Et la dernière « caractéristique » est le sujet auquel notre mini-digest d’aujourd’hui est dédié. Il existe de nombreuses façons de supprimer ou d’endommager les sauvegardes de volume, et les chercheurs en sécurité ainsi que les cybercriminels trouvent de nouvelles méthodes pour rendre impossible la récupération des données après une attaque. L’équipe SOC Prime a publié trois nouvelles règles de chasse aux menaces pour détecter l’écrasement des copies de sauvegarde ou leur suppression.

Écrasement possible des copies de sauvegarde (via imageload) : https://tdm.socprime.com/tdm/info/9xzFEUJd0gNX/8GvGSnUBR-lx4sDxVANV/

Écrasement possible des copies de sauvegarde (via cmdline) : https://tdm.socprime.com/tdm/info/r9H5KNdiuwhl/2K7FSnUBTwmKwLA9VMSM/

Suppression possible des copies de sauvegarde (via powershell) : https://tdm.socprime.com/tdm/info/23zs3NjeUSDA/jXPESnUBmo5uvpkjgSQ5/

Les règles de cette collection ont des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Impact

Techniques : Inhiber la récupération du système (T1490)

Consultez également d’autres règles qui peuvent détecter une telle activité malveillante sur le Threat Detection Marketplace : https://tdm.socprime.com/?logSourceTypes=&strictSearchActorTool=&mitreTagged=&contentViewType=&searchSubType=&searchValue=shadow+copies&searchProject=all&searchQueryFeatures=false

Prêt à essayer SOC Prime Threat Detection Marketplace ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté de Threat Detection Marketplace.