Esta historia le llega como parte 2 de 4 en nuestro Serie de detección de ransomware en el que exploramos cómo analizar y proteger sus datos de Qumulo a escala de nube. En la parte 1, examinamos cómo detectar ransomware patrones de acceso que podrían indicar una amenaza a sus datos (con Qumulo y Azure Sentinel). En la parte 2 a continuación, cubrimos el siguiente paso para detectar ransomware: cómo correlacionar los datos entrantes con datos externos, como listas blancas o listas negras.
Anteriormente, analizamos el flujo de trabajo de detección de ransomware utilizado con Azure Sentinel para detectar patrones de acceso sospechosos a los datos de Qumulo. Una de las características del ransomware es que puede ocultarse en su sistema de forma indefinida para permitir que el perpetrador planifique un ataque dirigido. En esta historia, agregaremos técnicas simples de correlación de datos al proceso de detección de ransomware para descubrir y prevenir ataques.
Los datos externos, como listas blancas o negras, pueden implementado en Azure Sentinel de varias maneras. Por ejemplo, como listas de seguimiento o como tablas en archivos CSV. En este caso, usaremos datos externos en forma de tablas estáticas. Consulte los siguientes ejemplos a modo de ilustración:
1. Detectar archivos con extensiones de archivo sospechosas o incorrectas conocidas y;
2. Detectar una gran cantidad de respuestas de acceso denegado en los registros de eventos de Qumulo.
Flujo de trabajo de detección de ransomware con correlación de datos
El flujo de trabajo de detección de ransomware a continuación se parece bastante al que se explicó anteriormente en la parte 1, que explora detectar patrones de acceso de ransomware. La diferencia aquí es la correlación de datos agregados con los datos entrantes. Examinemos a continuación cómo hacer esto.
Métodos de correlación de datos y detección de ransomware
A continuación, cubriremos los métodos para la correlación de datos y la detección de ransomware u otros eventos de violación de datos. Estos métodos también se pueden aplicar fácilmente para descubrir otras actividades sospechosas.
1. Detectar extensiones de archivo sospechosas o conocidas como malas
Aquí comparamos los archivos entrantes con una lista externa de extensiones de archivos no deseadas (en la lista negra). Creamos esta lista como un archivo CSV y luego la almacenamos en un contenedor de blobs.
Este CSV contiene una lista de extensiones de archivo defectuosas conocidas:
Extensión, Descripción .dam, Damages Malware .dr, componente de cuentagotas para un .gen de malware, malware que se detecta mediante un .kit de firma genérico, constructor de virus .ldr, componente cargador de un .pak de malware, .plugin de malware comprimido, plug- en componentes .remnants, restos de un virus .worm, componente de gusano de ese malware.! bit, una categoría interna que se usa para referirse a algunas amenazas.! cl, una categoría interna que se usa para referirse a algunas amenazas.! dha, una categoría interna se usa para referirse a algunas amenazas.! pfn, una categoría interna que se usa para referirse a algunas amenazas.! plock, una categoría interna que se usa para referirse a algunas amenazas.! rfn, una categoría interna que se usa para referirse a algunas amenazas.! rootkit, rootkit componente de ese malware. @ m: gusanos de correo. @ mm: gusano de correo masivo
Subimos el archivo CSV a un contenedor de blobs privado y obtenemos la siguiente URL para acceder a él:
https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv</var/www/wordpress>Sin embargo, como no queremos que esta lista sea de acceso público, creamos un token SAS en Azure Portal. De esta forma, podemos acceder al archivo sin proporcionar la clave de la cuenta de almacenamiento. La URL que obtendríamos de ella se ve así:
https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D</var/www/wordpress>Para consultar el contenido de la lista negra, escribimos la siguiente consulta en Azure Sentinel:
externaldata (FileExt: string, Detail: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true)
Esto resultaría en mostrar el contenido de la tabla CSV (omitimos la salida):
Ahora podemos usar la siguiente consulta para verificar todos los archivos tocados durante los últimos 10 minutos en extensiones de archivo no deseadas:
deje timerange = 10min; let blacklist = externaldata (FileExt: string) [h "https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se= 2025-12-31T18% 3A33% 3A00Z & sr = b & sp = r & sig = k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU% 3D "] con (ignoreFirstRecord = true); QumuloAuditEvents | donde EventTime> = hace (intervalo de tiempo) | donde FileExt1 en (lista negra)
Esta consulta enumeraría todos los eventos en los que se ha accedido a archivos cuya extensión de archivo aparece en la lista negra externa:
De acuerdo con el flujo de trabajo de detección que se muestra arriba, las alertas y los incidentes se crearían automáticamente. El incidente de seguridad podría asignarse a un analista de seguridad para una mayor investigación o un libro de jugadas se puede activar, lo que lanza respuestas automáticas.
2. Respuestas de acceso denegado por encima del umbral
En este método de ejemplo, queremos detectar ciertas acciones en el sistema de archivos. Estamos buscando acciones que contengan respuestas de "acceso denegado" del sistema de archivos que excedieron un umbral alto en un período de tiempo. Si se niega el acceso más de 10 veces por segundo, eso indica actividad sospechosa y se debe alertar al equipo de seguridad.
Para este caso de uso, creamos una lista de seguimiento que es una tabla estática que se usa para búsquedas. En este ejemplo, la lista de seguimiento Q-Response-Codes</var/www/wordpress> contains all file system response codes. We can query the watchlist with the following:
_GetWatchlist('Q-Response-Messages')</var/www/wordpress>
Ahora, para realizar un seguimiento de los eventos entrantes de los últimos 10 minutos en esta lista y detectar cualquier evento con un código de respuesta que no sea "ok", podemos ejecutar la siguiente consulta:
deje timerange = 10min; let watchlist = (_GetWatchlist ('Q-Response-Messages') | donde ErrorStatus <> "ok" | proyecto ErrorStatus); QumuloAuditEvents | donde EventTime> = hace (intervalo de tiempo) | donde ResponseCode en (lista de seguimiento)
También podríamos limitar la lista de seguimiento a fs_access_denied_error</var/www/wordpress> and http_unauthorized_error</var/www/wordpress> if we wanted the alerts to occur only on those events. To automatically alert only on access denied errors that exceed a certain threshold, we’ll create an analytic rule in Azure Sentinel that is fired up in regular intervals, and will trigger an alert only if the number of events exceeds a threshold that we can configure. From here, the alerts or incidents would be processed according to the workflow described above.
¡La siguiente es la parte 3 de esta serie sobre detección de ransomware! Miraremos cómo utilizar datos externos de Threat Intelligence para respaldar la correlación de datos.
Qumulo Recover Q: Solución de recuperación ante desastres para ayudar a protegerse contra ransomware
Registros de auditoría de Qumulo se puede utilizar a través de syslog con cualquier solución SIEM para la detección.
También ofrecemos Qumulo Recuperar Q—Un flexible solución de recuperación ante desastres basada en la nube que encaja en cualquier estrategia de continuidad empresarial existente. Las funciones de protección activa ayudan a garantizar la seguridad e integridad de los datos, mientras que las funciones integradas de instantáneas y replicación en la nube agregan capas de defensa contra amenazas del mundo real que podrían comprometer sus datos u operaciones.
El uso de Recover Q en la nube puede ayudar a optimizar el gasto de su empresa para la continuidad del negocio al reducir los costos locales en favor de un servicio nativo de la nube bajo demanda.
OTRAS LECTURAS
Eche un vistazo a nuestros dos informes técnicos para obtener más información sobre la detección de ransomware con los datos de auditoría de Qumulo y las plataformas SIEM, y las servicios de datos (Qumulo Protect y Qumulo Secure) que vienen de serie con su suscripción al software Qumulo:
- Arquitectura de seguridad y mejores prácticas para contrarrestar el malware
- Caza de amenazas con Qumulo Audit y Azure Sentinel
¿Te gusta lo que ves?
Contáctenos para RESERVAR UNA DEMOSTRACIÓN or organizar una reunión. Incluso puede Test Drive un entorno Qumulo completamente funcional directamente desde su navegador:
