섀도우 복사본 삭제 탐지 규칙

최근에 우리 출판물 중 다수는 다양한 랜섬웨어 변종에 할애되었으며, Matrix 랜섬웨어 특성을 감지하는 규칙은 Ragnar Locker나 Maze를 식별하는 데 도움이 되지 않습니다. 악성 코드는 끊임없이 변화하고 있으며, 작성자는 보안 연구자에게 알려진 IOC뿐만 아니라 위협 추적 콘텐츠를 그들의 ‘발명품’에 무력화하기 위해 행동도 변경합니다. 현대 랜섬웨어에서는 전염 방식, 보안 솔루션 우회, 프로세스 비활성화, 추가 기능 및 지속성 메커니즘이 거의 모든 것이 다릅니다. 이들을 공통적으로 묶는 것은 파일 암호화(일부 경우 – 꽤 창의적으로)와 섀도 복사본 삭제뿐입니다.

그리고 마지막 ‘특징’은 오늘의 미니 다이제스트가 전념하는 주제입니다. 볼륨 백업을 제거하거나 손상시키는 방법은 많으며, 보안 연구자와 사이버 범죄자들이 새로운 방법을 찾고 있습니다 공격 이후 데이터를 복구할 수 없게 만들기 위해. SOC Prime 팀은 세 개의 새로운 독점적인 위협 추적 규칙 을 발표하여 섀도 복사본의 제거나 손상을 감지합니다.

섀도 복사본 제거 가능성 (이미지 로드 경유): https://tdm.socprime.com/tdm/info/9xzFEUJd0gNX/8GvGSnUBR-lx4sDxVANV/

섀도 복사본 제거 가능성 (명령줄 통해): https://tdm.socprime.com/tdm/info/r9H5KNdiuwhl/2K7FSnUBTwmKwLA9VMSM/

섀도 복사본 삭제 가능성 (파워셸 통해): https://tdm.socprime.com/tdm/info/23zs3NjeUSDA/jXPESnUBmo5uvpkjgSQ5/

이 컬렉션의 규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전략: 영향

기술: 시스템 복구 방해 (T1490)

또한 Threat Detection Marketplace에서 이러한 악성 활동을 감지할 수 있는 다른 규칙도 확인하십시오: https://tdm.socprime.com/?logSourceTypes=&strictSearchActorTool=&mitreTagged=&contentViewType=&searchSubType=&searchValue=shadow+copies&searchProject=all&searchQueryFeatures=false

SOC Prime Threat Detection Marketplace를 사용해볼 준비가 되셨나요? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하여 자신의 콘텐츠를 제작하고 Threat Detection Marketplace 커뮤니티와 공유하세요.