ransomware netwerkshares detecteren

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • basset
  • Registratie: Februari 2000
  • Laatst online: 17-07 15:36
Wat ik voornamelijk lees, is het voorkomen van de infectie. Waar ik een stuk minder over lees is het detecteren als het kwaad al geschied is (of ik zoek niet goed).

Je kunt een goede "ends point protection" hebben
Schrijfrechten zoveel mogelijk proberen te beperken in projectteams
Replicatie en backup goed inrichten

Maar wat als het virus toch je pc bereikt en vervolgens de fileserver op je werk begint te encrypten?
Dit wil je detecteren. Er staat nu namelijk geen virus op de server waar de netwerkshare op gehost wordt.

Er is veel auditing software op de markt om aanpassingen aan bestanden te loggen. (manageengine, lepide, netwrix bijvoorbeeld).

Zijn er mensen die hier al iets mee gedaan hebben en hoe ze dit aangepakt hebben.

Waar je namelijk voor wilt waken, lijkt me, is een overvloed aan false positives.

Hop,hop,hop!


Acties:
  • 0 Henk 'm!

  • GerardVanAfoort
  • Registratie: April 2010
  • Niet online

GerardVanAfoort

Slapen is een hobby

Neem een enterprise licentie. http://www.surfright.nl/en/alert en run pro.alert ook op servers. Klaar.

De rest is vrije tijd. Breathe in breathe out


Acties:
  • 0 Henk 'm!

  • basset
  • Registratie: Februari 2000
  • Laatst online: 17-07 15:36
GerardVanAfoort schreef op donderdag 10 maart 2016 @ 09:25:
Neem een enterprise licentie. http://www.surfright.nl/en/alert en run pro.alert ook op servers. Klaar.
Dit focust puur op het voorkomen van en infectie. Waar het ons om gaat is het detecteren er van als de infectie er onverhoopt toch op komt. Bijvoorbeeld vanwege zero days.

Dat iemand zijn pc geinfecteerd raakt vind ik wat minder kwalijk, dan dat alle shares waar hij rechten toe heeft versleuteld worden. En volgens mij kijkt cryptoguard puur lokaal.

Hop,hop,hop!


Acties:
  • 0 Henk 'm!

  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021
Zou gaaf zijn als je een budget kunt instellen per user. Bijvoorbeeld dat een user per dag niet meer dan een bepaalde hoeveelheid data mag lezen/schrijven. Een cryptolocker kan dan ineens niets meer.

Cryptolockers zijn niet te detecteren door virusscanners, tenzij de cryptolocker al een paar weken oud is, maar software restriction policies blokkeren de cryptolockers tot nu toe nog wel goed.

Acties:
  • 0 Henk 'm!

  • basset
  • Registratie: Februari 2000
  • Laatst online: 17-07 15:36
Wat we moeten doen is focussen op preventie en detectie.

Het makkelijkst is om iedereen standaard alleen maar leesrechten te geven op de fileshares. Echter wordt de beheerafdeling hier dan gek.

Naast file auditing, zoek ik een tool voor de medewerkers, zodat zij zichzelf schrijfrechten kunnen geven op een folder (alleen als ze ook leesrechten hebben) en dat dit ook timed is. Dus dat na bijvoorbeeld 24 uur, de rechten automatisch weer op read-only gezet worden.

Dit zou een infectie enorm beperken denk ik. Ik heb 1 tool gevonden die het lijkt te kunnen, maar kost dan ook meteen 20k: Varonis Dataprivilege

Hop,hop,hop!


Acties:
  • 0 Henk 'm!

  • Dennism
  • Registratie: September 1999
  • Laatst online: 18-07 17:47
Als je een Windows Fileserver hebt kan je via FSRM filescreen instellen, met detectie van bekende ransomware extentie en filenames, natuurlijk niet helemaal waterdicht, maar als je het redelijk bijhoudt pakt het de meeste varianten wel op.

Hier is een voorbeeld te vinden: http://jpelectron.com/sam...-PreventCrypto-Readme.htm

Deze detectie kan je bijv. ook koppelen aan een batch script die bij detectie alle shares op je fileserver verwijderd, waardoor de infectie zich niet verder kan verspreiden.

Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 12:36

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

GerardVanAfoort schreef op donderdag 10 maart 2016 @ 09:25:
Neem een enterprise licentie. http://www.surfright.nl/en/alert en run pro.alert ook op servers. Klaar.
Dit is totaal ongeschikt om massale aanpassing van bestanden te detecteren, te analyseren en naar een bron te herleiden.

De genoemde FSRM filescreens zijn ook niet echt super geschikt omdat je daar uit moet gaan van min of meer vaste extenties. Daar heb je een probleem bij elke nieuwe versie malware en nog meer bij malware die de extentie (semi)random maakt.

Je ontkomt eigenlijk niet aan 3rd party software die bijvoorbeeld op basis van hashes kan controleren en rapporteren op bestandswijzigingen. Wil je wat minder geavanceerd dan zou je object access kunnen monitoren middels een Windows Audit log wellicht. Hier kun je dan weer alarmeringen op zetten (bv met 3rd party tooling). Dit kan wel voor veel load en grote eventlogs zorgen dus wees voorzichtig met wat je eventueel gaat auditen.

De vraag die je ook krijgt is hoe zorg je voor een baseline met "normaal gebruik" zodat je afwijkingen hierop kunt detecteren zonder veel false positives te krijgen.

[ Voor 57% gewijzigd door Bor op 16-03-2016 13:21 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • Dennism
  • Registratie: September 1999
  • Laatst online: 18-07 17:47
Bor schreef op woensdag 16 maart 2016 @ 12:50:
[...]


De genoemde FSRM filescreens zijn ook niet echt super geschikt omdat je daar uit moet gaan van min of meer vaste extenties. Daar heb je een probleem bij elke nieuwe versie malware en nog meer bij malware die de extentie (semi)random maakt.
Klopt het is geen heilig middel, maar werkt wel voor bekende varianten, haalt iemand een 0day variant binnen zal je er weinig aan hebben, haalt iemand echter een wat oudere variant binnen dan is het wel een handige waarschuwing die ook nog eens weinig tijd kost om te implementeren en gratis is, als je er maar 1 infectie mee voorkomt heb je de paar minuten die nodig is voor het implementeren er al weer uit.

De filescreens kijken trouwens niet alleen naar extensies, maar vooral ook naar patronen in de filename van de "recovery" documentjes die weggeschreven worden voor het encrypten, daar deze vrijwel altijd neergezet worden voordat de cryptomalware aan de slag gaat kan het toch voor bekende varianten een goede extra waarschuwingsmaatregel zijn die zoals gezegd makkelijk en gratis te implementeren is.

Acties:
  • 0 Henk 'm!

  • The Realone
  • Registratie: Januari 2005
  • Laatst online: 13:32
Ik denk dat je dit uit je hoofd moet zetten, want een waterdichte oplossing is er niet. Security kun je het beste in laagjes opbouwen, i.p.v. je geld in te zetten op 1 oplossing.

Bij een klant van ons gebruiken we (even afgezien van externe spam/virusfilter, lokale mailscanning, firewalling, IPS, USB mass storage beperkingen, enz) eerst file-antivirus om een cryptolocker te vangen.

Mocht die niet gedetecteerd worden, dan hebben we application control software, een beetje zoals Microsoft's AppLocker maar dan goed en ook geschikt voor niet-Enterprise Windows client versies. Dit in een default deny setup. Dan starten er dus geen scripts/executables die wij niet van tevoren aangeven te vertrouwen.

Start hij alsnog en begint hij te encrypten, te hebben we eigenlijk pech en val je terug op damage control. We zouden nog iets met FSRM kunnen doen, maar dat is beheerstechnisch wel een nachtmerrie denk ik. Een volgende stap waar we naar kijken is het inzetten van een encryptie detector die encryptie-activiteit moet ontdekken, dus niet direct de cryptolocker zelf. Kaspersky heeft iets in ontwikkeling wat misschien interessant is, maar dat is nog in beta.

Allemaal niet waterdicht, maar het moet op behoorlijk wat plaatsen fout gaat wil hij nog kunnen toeslaan.
Pagina: 1