通过 SMB 投放潜在勒索软件说明文件

编辑

通过 SMB 投放潜在勒索软件说明文件

编辑

识别传入的 SMB 连接,随后创建名称类似于勒索软件说明文件的文件。这可能表明通过 SMB 协议发生了远程勒索软件攻击。

规则类型: eql

规则索引:

  • logs-endpoint.events.*

严重性: 高

风险评分: 73

每隔: 5 分钟

搜索索引时间范围: now-9m (日期数学格式,另请参阅 其他回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

  • 领域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:影响
  • 资源:调查指南
  • 数据源:Elastic Defend

版本: 3

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

性能

  • 由于逻辑范围涵盖所有传入的 SMB 网络事件,因此此规则可能会导致中到高的性能影响。

可能的调查步骤

  • 调查连接到此主机 445 端口的 source.ip 地址。
  • 识别通过 SMB 执行文件创建的用户帐户。
  • 如果文件数量过多,并且通过 SMB 连接的 source.ip 不常见,请隔离主机并阻止使用的凭据。
  • 调查过去 48 小时内与用户/主机关联的其他告警。

误报分析

  • 通过 SMB 使用类似文件命名约定的远程文件创建。

相关规则

  • 意外进程删除第三方备份文件 - 11ea6bec-ebde-4d71-a8e9-784948f8e3e9
  • 通过 VssAdmin 删除或调整卷影副本 - b5ea4bfe-a1b2-421f-9d47-22a75a6f2921
  • 通过 PowerShell 删除卷影副本 - d99a037b-c8e2-47a5-97b9-170d076827c4
  • 通过 WMIC 删除卷影副本 - dc9c1f74-dac3-48e3-b47f-eb79db358f57
  • 通过 SMB 重命名可疑文件 - 78e9b5d5-7c07-40a7-a591-3dbbf464c386

响应和补救措施

  • 根据分类结果启动事件响应流程。
  • 考虑隔离相关主机以防止破坏性行为,此行为通常与此活动相关。
  • 调查受损系统或攻击者使用的系统上的凭据泄露,以确保识别所有受损帐户。重置这些帐户和其他可能受损的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
  • 如果在主机上发现了任何其他破坏性操作,建议优先调查并查找勒索软件准备和执行活动。
  • 如果任何备份受到影响
  • 在本地执行数据恢复或从复制副本(云、其他服务器等)还原备份。
  • 确定攻击者滥用的初始载体,并采取措施防止通过相同载体重新感染。
  • 使用事件响应数据更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑
sequence by host.id with maxspan=1s
 [network where host.os.type == "windows" and
  event.action == "connection_accepted" and destination.port == 445 and source.port >= 49152 and process.pid == 4 and
  source.ip != "127.0.0.1" and source.ip != "::1" and
  network.type == "ipv4" and not endswith(source.address, destination.address)]
 [file where host.os.type == "windows" and event.action == "creation" and
  process.pid == 4 and user.id : ("S-1-5-21*", "S-1-12-*") and file.extension : ("hta", "txt", "readme", "htm*") and
  file.path : "C:\\Users\\*" and
   /* ransom file name keywords */
    file.name : ("*read*me*", "*lock*", "*@*", "*RECOVER*", "*decrypt*", "*restore*file*", "*FILES_BACK*", "*how*to*")] with runs=3

框架: MITRE ATT&CKTM