Regole di Rilevamento per la Cancellazione delle Copie Shadow

Molte delle nostre pubblicazioni recenti si sono dedicate a diversi ceppi di ransomware, e le regole per rilevare le caratteristiche del ransomware Matrix non aiuteranno a identificare Ragnar Locker o Maze. Il malware è in continua evoluzione: i suoi autori non solo cambiano gli IOC noti ai ricercatori di sicurezza, ma anche il comportamento per rendere inutile il contenuto di threat hunting contro le loro ‘invenzioni’. Nei ransomware moderni, quasi tutto è diverso: modalità di infezione, aggiramento delle soluzioni di sicurezza, disattivazione dei processi, funzioni aggiuntive e meccanismi di persistenza. Ciò che li unisce è solo la crittografia dei file (in alcuni casi – in modo piuttosto creativo) e la cancellazione delle Copie Ombra.

E l’ultima “caratteristica” è l’argomento a cui è dedicato il nostro mini-digest di oggi. Ci sono molti modi per rimuovere o danneggiare i backup dei volumi, e i ricercatori di sicurezza e i criminali informatici stanno trovando nuovi metodi per rendere impossibile il recupero dei dati dopo un attacco. Il team di SOC Prime ha rilasciato tre nuove esclusive regole di threat hunting per rilevare lo stampaggio o la cancellazione delle Copie Ombra.

Possibile Stampaggio delle Copie Ombra (via imageload): https://tdm.socprime.com/tdm/info/9xzFEUJd0gNX/8GvGSnUBR-lx4sDxVANV/

Possibile Stampaggio delle Copie Ombra (via cmdline): https://tdm.socprime.com/tdm/info/r9H5KNdiuwhl/2K7FSnUBTwmKwLA9VMSM/

Possibile Cancellazione delle Copie Ombra (via powershell): https://tdm.socprime.com/tdm/info/23zs3NjeUSDA/jXPESnUBmo5uvpkjgSQ5/

Le regole di questa collezione hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Impatto

Tecniche: Inibire il Recupero del Sistema (T1490)

Inoltre, controlla altre regole che possono rilevare tali attività dannose al Threat Detection Marketplace: https://tdm.socprime.com/?logSourceTypes=&strictSearchActorTool=&mitreTagged=&contentViewType=&searchSubType=&searchValue=shadow+copies&searchProject=all&searchQueryFeatures=false

Pronto a provare il Threat Detection Marketplace di SOC Prime? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità di Threat Detection Marketplace.