潜在勒索软件行为 - 系统中 Readme 文件数量过多
编辑潜在勒索软件行为 - 系统中 Readme 文件数量过多编辑
此规则识别出由系统虚拟进程从同一主机创建的大量(20 个)文件创建事件,这些事件具有相同的文件名,其中包含类似于勒索软件备注文件的关键字,并且都在很短的时间内完成。
规则类型: 阈值
规则索引:
- logs-endpoint.events.file-*
严重性: 高
风险评分: 73
每隔: 5m 运行
从: now-9m (日期数学格式,另请参阅 附加回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 领域: 端点
- 操作系统: Windows
- 用例: 威胁检测
- 战术: 影响
- 资源: 调查指南
- 数据源: Elastic Defend
版本: 2
规则作者:
- Elastic
规则许可证: Elastic 许可证 v2
调查指南编辑
分类和分析
可能的调查步骤
- 调查 Readme 文件的内容。
- 调查任何具有不寻常扩展名的文件名。
- 调查任何传入到此主机上的端口 445 的网络连接。
- 调查任何对该主机的网络登录事件。
- 确定由 pid 4 修改的文件的总数和类型。
- 如果文件数量过多,并且通过 SMB 连接的 source.ip 不寻常,请隔离主机并阻止使用的凭据。
- 调查过去 48 小时内与用户/主机关联的其他警报。
误报分析
- 来自内核模式驱动程序的本地文件修改。
相关规则
- 通过意外进程删除第三方备份文件 - 11ea6bec-ebde-4d71-a8e9-784948f8e3e9
- 通过 VssAdmin 删除或调整卷影副本 - b5ea4bfe-a1b2-421f-9d47-22a75a6f2921
- 通过 PowerShell 删除卷影副本 - d99a037b-c8e2-47a5-97b9-170d076827c4
- 通过 WMIC 删除卷影副本 - dc9c1f74-dac3-48e3-b47f-eb79db358f57
- 通过 SMB 丢弃的潜在勒索软件备注文件 - 02bab13d-fb14-4d7c-b6fe-4a28874d37c5
- 通过 SMB 重命名的可疑文件 - 78e9b5d5-7c07-40a7-a591-3dbbf464c386
响应和补救
- 根据分类结果启动事件响应流程。
- 考虑隔离相关主机,以防止破坏性行为,这种行为通常与该活动相关联。
- 调查受攻击者入侵或使用的系统上的凭据泄露,确保识别所有受损帐户。重置这些帐户的密码和其他可能受损的凭据,例如电子邮件、业务系统和 Web 服务。
- 如果在主机上发现任何其他破坏性行为,建议优先调查并查找勒索软件准备和执行活动。
- 如果任何备份受到影响
- 本地执行数据恢复或从复制副本(云、其他服务器等)恢复备份。
- 确定攻击者滥用的初始载体,并采取措施防止通过相同载体重新感染。
- 使用事件响应数据更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询编辑
event.category:file and host.os.type:windows and process.pid:4 and event.action:creation and file.name:(*read*me* or *README* or *lock* or *LOCK* or *how*to* or *HOW*TO* or *@* or *recover* or *RECOVER* or *decrypt* or *DECRYPT* or *restore* or *RESTORE* or *FILES_BACK* or *files_back*)
框架: MITRE ATT&CKTM
-
战术
- 名称: 影响
- ID: TA0040
- 参考 URL: https://attack.mitre.org/tactics/TA0040/
-
技术
- 名称: 数据销毁
- ID: T1485
- 参考 URL: https://attack.mitre.org/techniques/T1485/
-
战术
- 名称: 横向移动
- ID: TA0008
- 参考 URL: https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称: 远程服务
- ID: T1021
- 参考 URL: https://attack.mitre.org/techniques/T1021/
-
子技术
- 名称: SMB/Windows 管理共享
- ID: T1021.002
- 参考 URL: https://attack.mitre.org/techniques/T1021/002/