Ανιχνεύοντας ransomware με το LogPoint

Αναμφίβολα το ransomware είναι μία αυξανόμενη απειλή στις μέρες μας, βάζοντας όλες τις μικρές, μεσαίες και μεγάλες επιχειρήσεις σε κίνδυνο. Οι ερευνητές ασφάλειας πληροφορικής στη LogPoint εργάζονται διαρκώς για να βοηθήσουν τους πελάτες της εταιρείας να αντέξουν σε τέτοιες επιθέσεις.

Στον πόλεμο ενάντια στο ransomware, ο σχεδιασμός και η προνοητικότητα είναι ζωτικής σημασίας για να περιοριστεί ο αντίκτυπος και να ανακτήσετε γρήγορα τη λειτουργικότητα σας με την ελάχιστη δυνατή αναστάτωση. Έχετε στο νου σας, ότι οι παραλλαγές του ransomware αλλάζουν μορφή διαρκώς, και είναι δύσκολο να αντιμετωπίσεις κάθε επίθεση χωρίς τη συμβολή ενός πραγματικά ισχυρού εργαλείου. Εξάλλου, είναι καλύτερα να είστε ασφαλείς παρά μετανιωμένοι και μέσα στη κατάθλιψη.

Στα ερωτήματα και τα παραδείγματα που χρησιμοποιούνται, υποθέτουμε ότι το περιβάλλον βασίζεται σε μία λύση backend της EMC, ωστόσο λειτουργεί με κάθε είδους λύση αποθήκευσης.

Στόχος

Η ανίχνευση ασυνήθιστης δραστηριότητας δεδομένων σε συστήματα αποθήκευσης μέσα σε συγκεκριμένη χρονική περίοδο συχνά υποδεικνύει τη δραστηριότητα ransomware. Με τη βοήθεια της ανίχνευσης ransomware, ο οργανισμός λαμβάνει μία ειδοποίηση μέσω ηλεκτρονικού ταχυδρομείου κάθε φορά που ανιχνεύεται ύποπτη δραστηριότητα. Υπάρχει μεγάλη ποικιλία από ύποπτες δραστηριότητες, ωστόσο περιπτώσεις όπου γίνεται αντιληπτή διαγραφή, δημιουργία ή κάποια αλλαγή στα δεδομένα αποτελούν πάντα προειδοποιητικό σημάδι.

Dashboards

To dashboard δείχνει τους 30 χρήστες που φάνηκε να έχουν τη μεγαλύτερη δραστηριότητα κατά τη διάρκεια των τελευταίων δέκα ετών:

Query: label=EMC userSid=*|rename userSid as objectSid| chart count() by objectSid order by count() DESC limit 30| process lookup (LDAP,objectSid)|fields displayName, sAMAccountName, objectSid, count()

 

Οτιδήποτε παράγει μεγάλο όγκο δραστηριότητας δεδομένων από τη φύση του (όπως για παράδειγμα τα Citrix και Xen( εξαιρούνται από την αναζήτηση οπότε και τα αποτελέσματα δεν διαστρεβλώνονται.

Επιπλέον, υπάρχει μία λίστα με την ονομασία Whitelist η οποία αποτελείται από αξιόπιστους χρήστες.  Η λίστα παράγεται αυτομάτως βάσει UserSID. Επιπροσθέτως, υπάρχει μία in-house κλίμακα που περιέχει “φυσιολογική” δραστηριότητα δεδομένων οπότε το σύστημα μπορεί να ανιχνεύει οποιαδήποτε δραστηριότητα αποκλίνει από τη κλίμακα.

 

Οι χρήστες γίνονται assigned σε UserSID με αντιστοίχηση στο Active Directory. Τα αποτελέσματα αποθηκεύονται σε ένα πίνακα από όπου τα δεδομένα μπορούν να χρησιμοποιούνται μονίμως για περαιτέρω ανάλυση.

 

Συναγερμός – Ειδοποιήσεις

Query: label=EMC  -“bytesWritten”=”0” -“bytesWritten”=”0x0″  event=”0x80” flag=0x2 userSid=*| chart count() as handle by userSid, clientIP | search handle>200

Ο συναγερμός ενεργοποιείται και αποστέλλεται ένα email στο άτομο που είναι υπεύθυνο όποτε ανιχνεύεται ύποπτη δραστηριότητα δεδομένων που επηρεάζει περισσότερα από 200 αρχεία. Εξαίρεση στον συγκεκριμένο κανόνα αποτελούν εφαρμογές και paths που έχουν χαρακτηριστεί ως αξιόπιστα.

Αν και βεβαίως μόλις που ξύσαμε την επιφάνεια στον τρόπο που η LogPoint αντιμετωπίζει το ransomware σήμερα, η συγκεκριμένη περίπτωση εξυπηρετεί ως ένα καλό σημείο εκκίνησης για περισσότερες συζητήσεις σχετικά με τα επόμενα βήματα που πρέπει να κάνετε προκειμένου να προστατεύσετε τον οργανισμό σας. 

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.