Regras de Detecção para Apagar Cópias de Sombra

Muitas de nossas publicações recentemente têm sido dedicadas a várias cepas de ransomware, e as regras para detectar características do ransomware Matrix não ajudarão a identificar Ragnar Locker ou Maze. O malware está constantemente mudando: seus autores mudam não apenas os IOCs conhecidos pelos pesquisadores de segurança, mas também o comportamento para tornar o conteúdo de caça a ameaças inútil contra suas ‘invenções’. No ransomware moderno, quase tudo é diferente: modos de infecção, contorno de soluções de segurança, desativação de processos, funções adicionais e mecanismos de persistência. O que os une é apenas a criptografia de arquivos (em alguns casos – de forma bastante criativa) e a exclusão de Shadow Copies.

E a última “característica” é o tema ao qual nosso mini-digest de hoje é dedicado. Existem muitas maneiras de remover ou danificar backups de volume, e pesquisadores de segurança e cibercriminosos estão encontrando novos métodos para tornar impossível a recuperação de dados após um ataque. A equipe SOC Prime lançou três novas e exclusivas regras de caça a ameaças para detectar a substituição de Shadow Copies ou sua exclusão.

Possível Substituição de Shadow Copies (via imageload): https://tdm.socprime.com/tdm/info/9xzFEUJd0gNX/8GvGSnUBR-lx4sDxVANV/

Possível Substituição de Shadow Copies (via linha de comando): https://tdm.socprime.com/tdm/info/r9H5KNdiuwhl/2K7FSnUBTwmKwLA9VMSM/

Possível Exclusão de Shadow Copies (via powershell): https://tdm.socprime.com/tdm/info/23zs3NjeUSDA/jXPESnUBmo5uvpkjgSQ5/

As regras desta coleção têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Impacto

Técnicas: Inibir Recuperação do Sistema (T1490)

Além disso, verifique outras regras que podem detectar tal atividade maliciosa no Threat Detection Marketplace: https://tdm.socprime.com/?logSourceTypes=&strictSearchActorTool=&mitreTagged=&contentViewType=&searchSubType=&searchValue=shadow+copies&searchProject=all&searchQueryFeatures=false

Pronto para testar o SOC Prime Threat Detection Marketplace? Cadastre-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade do Threat Detection Marketplace.