シャドウコピー削除の検出ルール

最近の私たちの出版物の多くはさまざまなランサムウェアの亜種に関するものであり、Matrixランサムウェアの特性を検出するためのルールは、Ragnar LockerやMazeを特定するのに役立ちません。マルウェアは絶えず変化しています。それは、セキュリティ研究者に知られているIOCを変更するだけでなく、彼らの「発明」に対して脅威ハンティングのコンテンツを無用にするために行動も変えています。現代のランサムウェアでは、感染経路、セキュリティソリューションの回避、プロセスの無効化、追加機能、永続化メカニズムなど、ほぼすべてが異なります。それらを結びつけているのは、ファイルの暗号化（場合によっては非常に創造的に）とシャドウコピーの消去だけです。

そして最後の「特徴」は、今日の私たちのミニダイジェストが捧げられているトピックです。ボリュームバックアップを削除または破損させる方法は多数あり、セキュリティ研究者とサイバー犯罪者は 新しい方法 を見つけて、攻撃後のデータの復旧を不可能にしています。SOC Primeのチームは、シャドウコピーの踏みにじりや削除を検出するための3つの新しい独占的な 脅威ハンティングルール をリリースしました。

可能性のあるシャドウコピーの踏みにじり（イメージロード経由）： https://tdm.socprime.com/tdm/info/9xzFEUJd0gNX/8GvGSnUBR-lx4sDxVANV/

可能性のあるシャドウコピーの踏みにじり（コマンドライン経由）： https://tdm.socprime.com/tdm/info/r9H5KNdiuwhl/2K7FSnUBTwmKwLA9VMSM/

可能性のあるシャドウコピーの削除（PowerShell経由）： https://tdm.socprime.com/tdm/info/23zs3NjeUSDA/jXPESnUBmo5uvpkjgSQ5/

このコレクションのルールには、以下のプラットフォームへの翻訳があります：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、LogPoint、Humio

EDR：Microsoft Defender ATP、Carbon Black、Elastic Endpoint

MITRE ATT&CK:

戦術：インパクト

技術：システム回復の抑制（T1490）

また、このような悪意のある活動を検出できる他のルールをThreat Detection Marketplaceで確認してください： https://tdm.socprime.com/?logSourceTypes=&strictSearchActorTool=&mitreTagged=&contentViewType=&searchSubType=&searchValue=shadow+copies&searchProject=all&searchQueryFeatures=false

SOC Prime Threat Detection Marketplaceを試す準備はできましたか？ 無料でサインアップしてください。または Threat Bounty Programに参加して 独自のコンテンツを作成し、Threat Detection Marketplaceコミュニティと共有しましょう。