潜在勒索软件行为 - 系统创建大量 Readme 文件

编辑

潜在勒索软件行为 - 系统创建大量 Readme 文件

编辑

此规则识别系统虚拟进程在同一主机上创建大量（20 个）文件事件，且文件名相同，包含类似于勒索软件说明文件的关键词，并且所有事件都发生在短时间内。

规则类型: 阈值

规则索引:

logs-endpoint.events.file-*
winlogbeat-*
logs-windows.sysmon_operational-*
endgame-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重性: 高

风险评分: 73

每隔: 5 分钟

搜索索引范围: now-9m (日期数学格式，另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考:

https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：影响
资源：调查指南
数据源：Elastic Defend
数据源：Elastic Endgame
数据源：Microsoft Defender for Endpoint
数据源：Sysmon
数据源：SentinelOne

版本: 207

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

可能的调查步骤

调查 Readme 文件的内容。
调查任何具有不寻常扩展名的文件名。
调查任何传入到此主机 445 端口的网络连接。
调查任何与此主机相关的网络登录事件。
识别进程 ID 为 4 的修改文件总数和类型。
如果文件数量过多且通过 SMB 连接的 source.ip 不寻常，请隔离主机并阻止使用的凭据。
调查过去 48 小时内与用户/主机相关的其他警报。

误报分析

来自内核模式驱动程序的本地文件修改。

相关规则

通过意外进程删除第三方备份文件 - 11ea6bec-ebde-4d71-a8e9-784948f8e3e9
通过 VssAdmin 删除或调整卷影副本 - b5ea4bfe-a1b2-421f-9d47-22a75a6f2921
通过 PowerShell 删除卷影副本 - d99a037b-c8e2-47a5-97b9-170d076827c4
通过 WMIC 删除卷影副本 - dc9c1f74-dac3-48e3-b47f-eb79db358f57
通过 SMB 丢弃潜在的勒索软件说明文件 - 02bab13d-fb14-4d7c-b6fe-4a28874d37c5
通过 SMB 重命名可疑文件 - 78e9b5d5-7c07-40a7-a591-3dbbf464c386

响应和补救

根据分类结果启动事件响应流程。
考虑隔离涉事主机以防止破坏性行为，此类行为通常与此活动相关。
调查受感染系统或攻击者使用的系统上的凭据泄露，确保识别所有受感染的帐户。重置这些帐户和其他可能受感染的凭据（如电子邮件、业务系统和 Web 服务）的密码。
如果在主机上识别到任何其他破坏性操作，建议优先调查并查找勒索软件准备和执行活动。
如果任何备份受到影响
在本地执行数据恢复或从复制副本（云、其他服务器等）恢复备份。
确定攻击者滥用的初始载体，并采取措施防止通过相同载体重新感染。
使用事件响应数据更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

event.category:file and host.os.type:windows and process.pid:4 and event.action:creation and
 file.name:(*read*me* or *README* or *lock* or *LOCK* or *how*to* or *HOW*TO* or *@* or *recover* or *RECOVER* or *decrypt* or *DECRYPT* or *restore* or *RESTORE* or *FILES_BACK* or *files_back*)

框架: MITRE ATT&CK^TM

战术
- 名称：影响
- ID：TA0040
- 参考网址：https://attack.mitre.org/tactics/TA0040/
技术
- 名称：数据破坏
- ID：T1485
- 参考网址：https://attack.mitre.org/techniques/T1485/
战术
- 名称：横向移动
- ID：TA0008
- 参考网址：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：远程服务
- ID：T1021
- 参考网址：https://attack.mitre.org/techniques/T1021/
子技术
- 名称：SMB/Windows 管理共享
- ID：T1021.002
- 参考网址：https://attack.mitre.org/techniques/T1021/002/

« 检测到潜在的 Pspy 进程监控通过 SMB 丢弃潜在的勒索软件说明文件 »