Diese Geschichte kommt zu euch als Teil 2 von 4 in unserem Ransomware-Erkennungsserie in dem wir untersuchen, wie Sie Ihre Qumulo-Daten im Cloud-Maßstab analysieren und schützen können. In Teil 1 haben wir untersucht So erkennen Sie Ransomware Zugriffsmuster, die auf eine Bedrohung Ihrer Daten hinweisen könnten (mit Qumulo und Azure Sentinel). In Teil 2 unten behandeln wir den nächsten Schritt zur Erkennung von Ransomware: wie man die eingehenden Daten mit externen Daten wie Whitelists oder Blacklists korreliert.
Zuvor haben wir den mit Azure Sentinel verwendeten Workflow zur Ransomware-Erkennung analysiert, um verdächtige Zugriffsmuster auf Qumulo-Daten zu erkennen. Eine der Eigenschaften von Ransomware ist, dass sie sich auf unbestimmte Zeit in Ihrem System verstecken kann, damit der Täter einen gezielten Angriff planen kann. In dieser Geschichte fügen wir dem Ransomware-Erkennungsprozess einfache Datenkorrelationstechniken hinzu, um Angriffe zu erkennen und zu verhindern.
Externe Daten wie White- oder Blacklists können implementiert in Azure Sentinel auf verschiedene Arten. Zum Beispiel als Watchlists oder als Tabellen in CSV-Dateien. In diesem Fall verwenden wir externe Daten in Form von statischen Tabellen. Siehe die folgenden Beispiele zur Veranschaulichung:
1. Erkennen von Dateien mit verdächtigen oder bekanntermaßen fehlerhaften Dateierweiterungen und;
2. Erkennen einer hohen Anzahl von Antworten auf verweigerte Zugriffe in Qumulo-Ereignisprotokollen.
Workflow zur Ransomware-Erkennung mit Datenkorrelation
Der nachfolgende Arbeitsablauf zur Ransomware-Erkennung ähnelt dem zuvor in Teil 1 erläuterten Arbeitsablauf, in dem Erkennung von Ransomware-Zugriffsmustern. Der Unterschied besteht hier in der zusätzlichen Datenkorrelation mit eingehenden Daten. Lassen Sie uns unten untersuchen, wie das geht.
Methoden zur Datenkorrelation und Ransomware-Erkennung
Als Nächstes behandeln wir die Methoden für die Datenkorrelation und Ransomware-Erkennung oder andere Datenverletzungsereignisse. Diese Methoden können leicht angewendet werden, um auch andere verdächtige Aktivitäten aufzudecken.
1. Erkennen Sie verdächtige oder bekannte fehlerhafte Dateierweiterungen
Hier prüfen wir eingehende Dateien mit einer externen Liste unerwünschter (auf der schwarzen Liste stehender) Dateierweiterungen. Wir erstellen diese Liste als CSV-Datei und speichern sie dann in einem Blob-Container.
Diese CSV enthält eine Liste bekannter fehlerhafter Dateierweiterungen:
Erweiterung,Beschreibung .dam,Damages Malware .dr,Dropper-Komponente für eine Malware .gen, Malware, die mithilfe einer generischen Signatur .kit erkannt wird, Virenkonstruktor .ldr, Loader-Komponente einer Malware .pak, komprimierte Malware .plugin, Plug- in der Komponente .remnants, Überreste eines Virus .worm, Wurmkomponente dieser Malware .!bit, eine interne Kategorie, die verwendet wird, um auf einige Bedrohungen zu verweisen .!cl, eine interne Kategorie, die verwendet wird, um auf einige Bedrohungen zu verweisen .!dha, eine interne Kategorie wird verwendet, um auf einige Bedrohungen zu verweisen .!pfn, eine interne Kategorie, die auf einige Bedrohungen verweist .!plock, eine interne Kategorie, die auf einige Bedrohungen verweist .!rfn, eine interne Kategorie, die auf einige Bedrohungen verweist .!rootkit, rootkit Komponente dieser Malware .@m: Wurm-Mailer .@mm: Massen-Mailer-Wurm
Wir laden die CSV-Datei in einen privaten Blob-Container hoch und erhalten die folgende URL, um darauf zuzugreifen:
https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv</var/www/wordpress>Da wir jedoch nicht möchten, dass diese Liste öffentlich zugänglich ist, erstellen wir im Azure-Portal ein SAS-Token. Auf diese Weise können wir auf die Datei zugreifen, ohne den Speicherkontoschlüssel anzugeben. Die URL, die wir daraus erhalten würden, sieht so aus:
https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D</var/www/wordpress>Um den Inhalt der Blacklist abzufragen, schreiben wir die folgende Abfrage in Azure Sentinel:
externaldata (FileExt: string, Detail: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true)
Dies würde dazu führen, dass der Inhalt der CSV-Tabelle angezeigt wird (wir haben die Ausgabe übersprungen):
Jetzt können wir mit der folgenden Abfrage alle berührten Dateien der letzten 10 Minuten auf unerwünschte Dateierweiterungen überprüfen:
let timerange = 10min; let blacklist = externaldata (FileExt: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se= 2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true); QumuloAuditEvents | wobei EventTime >= ago(timerange) | wo FileExt1 in (Blacklist)
Diese Abfrage würde alle Ereignisse auflisten, bei denen auf Dateien zugegriffen wurde, deren Dateierweiterung in der externen Blacklist aufgeführt ist:
Gemäß dem oben gezeigten Erkennungsworkflow würden Warnungen und Vorfälle automatisch erstellt. Der Sicherheitsvorfall könnte einem Sicherheitsanalysten zur weiteren Untersuchung zugewiesen werden oder a Textbuch ausgelöst werden, was automatisierte Reaktionen auslöst.
2. Zugriff verweigert-Antworten oberhalb des Schwellenwerts
In dieser Beispielmethode möchten wir bestimmte Aktionen im Dateisystem erkennen. Wir suchen nach Aktionen, die „Zugriff verweigert“-Antworten aus dem Dateisystem enthalten, die innerhalb eines bestimmten Zeitraums einen hohen Schwellenwert überschritten haben. Wenn der Zugriff mehr als zehnmal pro Sekunde verweigert wird, deutet dies auf eine verdächtige Aktivität hin und das Sicherheitsteam muss alarmiert werden.
Für diesen Anwendungsfall erstellen wir eine Beobachtungsliste, bei der es sich um eine statische Tabelle handelt, die für Suchvorgänge verwendet wird. In diesem Beispiel die Watchlist Q-Response-Codes</var/www/wordpress> contains all file system response codes. We can query the watchlist with the following:
_GetWatchlist('Q-Response-Messages')</var/www/wordpress>
Um nun eingehende Ereignisse der letzten 10 Minuten anhand dieser Liste zu verfolgen und alle Ereignisse mit einem anderen Antwortcode als „ok“ abzufangen, können wir die folgende Abfrage ausführen:
let timerange = 10min; let watchlist = (_GetWatchlist('Q-Response-Messages') | where ErrorStatus <> "ok" | project ErrorStatus) ; QumuloAuditEvents | wobei EventTime >= ago(timerange) | wo ResponseCode in (Beobachtungsliste)
Wir könnten die Beobachtungsliste auch auf beschränken fs_access_denied_error</var/www/wordpress> and http_unauthorized_error</var/www/wordpress> if we wanted the alerts to occur only on those events. To automatically alert only on access denied errors that exceed a certain threshold, we’ll create an analytic rule in Azure Sentinel that is fired up in regular intervals, and will trigger an alert only if the number of events exceeds a threshold that we can configure. From here, the alerts or incidents would be processed according to the workflow described above.
Als nächstes folgt Teil 3 dieser Serie zur Ransomware-Erkennung! Wir schauen uns an wie man externe Threat Intelligence-Daten zur Unterstützung der Datenkorrelation nutzt.
Qumulo Recover Q: Disaster-Recovery-Lösung zum Schutz vor Katastrophen Ransomware
Qumulo-Audit-Protokolle kann über Syslog mit jeder SIEM-Lösung zur Erkennung verwendet werden.
Wir bieten auch Qumulo Wiederherstellung Q—eine flexible Cloud-basierte Disaster-Recovery-Lösung das in jede bestehende Business-Continuity-Strategie passt. Aktive Schutzfunktionen tragen zur Gewährleistung der Datensicherheit und -integrität bei, während integrierte Snapshot- und Cloud-Replikationsfunktionen zusätzliche Schutzebenen gegen reale Bedrohungen bieten, die Ihre Daten oder Ihren Betrieb gefährden könnten.
Der Einsatz von Recover Q in der Cloud kann dazu beitragen, die Ausgaben Ihres Unternehmens für die Geschäftskontinuität zu optimieren, indem die Kosten vor Ort zugunsten eines cloudnativen On-Demand-Dienstes gesenkt werden.
Weiterführende Literatur
Werfen Sie einen Blick auf unsere beiden Whitepapers, um mehr über die Ransomware-Erkennung mit Qumulo-Auditdaten und SIEM-Plattformen sowie die integrierte Lösung zu erfahren Datendiensten (Qumulo Protect und Qumulo Secure), die standardmäßig in Ihrem Qumulo-Software-Abonnement enthalten sind:
- Sicherheitsarchitektur und Best Practices zur Abwehr von Malware
- Bedrohungsjagd mit Qumulo Audit und Azure Sentinel
Gefällt Ihnen was Sie sehen?
Kontaktieren Sie uns, um Demo buchen or Ein Treffen arrangieren. Sie können sogar Probefahrt eine voll funktionsfähige Qumulo-Umgebung direkt von Ihrem Browser aus:
