› › ›

通过 SMB 重命名的可疑文件

编辑

通过 SMB 重命名的可疑文件

编辑

识别传入的 SMB 连接，随后进行可疑的文件重命名操作。这可能表明通过 SMB 协议发起的远程勒索软件攻击。

规则类型: eql

规则索引:

logs-endpoint.events.*

严重性: 高

风险评分: 73

运行频率: 5分钟

搜索索引起始时间: now-9m (日期数学格式, 另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考资料:

https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 影响
资源: 调查指南
数据源: Elastic Defend

版本: 3

规则作者:

Elastic

规则许可: Elastic License v2

调查指南

编辑

初步评估和分析

性能

由于逻辑范围涵盖所有传入的 SMB 网络事件，此规则可能会导致中等到高的性能影响。

可能的调查步骤

调查连接到此主机 445 端口的 source.ip 地址。
确定通过 SMB 执行文件创建的用户帐户。
如果文件数量过多，并且通过 SMB 连接的 source.ip 不寻常，请隔离主机并阻止使用的凭据。
调查过去 48 小时内与用户/主机相关的其他警报。

误报分析

通过 SMB 进行的远程文件重命名。

相关规则

通过意外进程删除的第三方备份文件 - 11ea6bec-ebde-4d71-a8e9-784948f8e3e9
通过 VssAdmin 删除或调整卷影复制 - b5ea4bfe-a1b2-421f-9d47-22a75a6f2921
通过 PowerShell 删除卷影复制 - d99a037b-c8e2-47a5-97b9-170d076827c4
通过 WMIC 删除卷影复制 - dc9c1f74-dac3-48e3-b47f-eb79db358f57
通过 SMB 放置的潜在勒索软件备注文件 - 02bab13d-fb14-4d7c-b6fe-4a28874d37c5

响应和补救

根据初步评估的结果启动事件响应流程。
考虑隔离相关主机，以防止通常与此活动相关的破坏性行为。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有被入侵的帐户。重置这些帐户以及其他可能泄露的凭据的密码，例如电子邮件、业务系统和 Web 服务。
如果在主机上发现了任何其他破坏性操作，建议优先进行调查并查找勒索软件准备和执行活动。
如果任何备份受到影响
在本地执行数据恢复或从复制副本（云、其他服务器等）恢复备份。
确定攻击者滥用的初始向量，并采取措施防止通过相同向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以改进平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

sequence by host.id with maxspan=1s
 [network where host.os.type == "windows" and
  event.action == "connection_accepted" and destination.port == 445 and source.port >= 49152 and process.pid == 4 and
  source.ip != "127.0.0.1" and source.ip != "::1" and
  network.type == "ipv4" and not endswith(source.address, destination.address)]
 [file where host.os.type == "windows" and
  event.action == "rename" and process.pid == 4 and user.id : ("S-1-5-21*", "S-1-12-*") and
  file.extension != null and file.Ext.entropy >= 6 and file.path : "C:\\Users\\*" and
  file.Ext.original.name : ("*.jpg", "*.bmp", "*.png", "*.pdf", "*.doc", "*.docx", "*.xls", "*.xlsx", "*.ppt", "*.pptx", "*.lnk") and
  not file.extension : ("jpg", "bmp", "png", "pdf", "doc", "docx", "xls", "xlsx", "ppt", "pptx", "*.lnk")] with runs=3

框架: MITRE ATT&CK^TM

战术
- 名称: 影响
- ID: TA0040
- 参考 URL: https://attack.mitre.org/tactics/TA0040/
技术
- 名称: 数据破坏
- ID: T1485
- 参考 URL: https://attack.mitre.org/techniques/T1485/
技术
- 名称: 抑制系统恢复
- ID: T1490
- 参考 URL: https://attack.mitre.org/techniques/T1490/
战术
- 名称: 横向移动
- ID: TA0008
- 参考 URL: https://attack.mitre.org/tactics/TA0008/
技术
- 名称: 远程服务
- ID: T1021
- 参考 URL: https://attack.mitre.org/techniques/T1021/
子技术
- 名称: SMB/Windows 管理共享
- ID: T1021.002
- 参考 URL: https://attack.mitre.org/techniques/T1021/002/

« 从 Google Drive 下载的可疑文件可疑的 HTML 文件创建 »