如何使用FileAudit检测勒索软件

根据FBI的说法,勒索软件–恶意软件的压力,使文件和文件夹被犯罪分子锁定,直到支付赎金后才释放– is 越来越多的关注。加上 FileAudit提供新的批量访问警报,引发了来自客户和潜在客户的许多问题,有关如何使用FileAudit检测这些攻击。

鉴于兴趣激增,我想回答其中的一些问题。

FileAudit在保护网络免受此类攻击方面发挥着重要作用,因此以下内容概述了最佳使用方法以及实用的测试加密(包括结果)。因此,如果您有兴趣使用FileAudit来防御勒索软件,请继续阅读!

加密勒索软件如何工作?

首先,说明勒索软件的工作原理。

加密勒索软件通常通过电子邮件附件提供,该附件由受害者–一个不知情的公司员工打开。然后通过安全漏洞或缺陷,启动恶意代码,该恶意代码允许在受害者的计算机上下载并安装程序。

然后,程序将与攻击者拥有的远程服务器联系,并在其中生成非对称加密密钥对。私钥保存在攻击者服务器上,而公钥存储在受害者的计算机上。然后,程序可以通过为每个文件生成随机对称加密密钥来开始加密用户有权访问的所有文档,使用此密钥对文件进行加密,并在文件末尾添加使用公共非对称密钥加密的加密密钥。

这样做是因为直接使用 非对称密钥比对称密钥慢1000倍 ,但在两种情况下结果都是相同的。如果没有私钥,则无法解密文件。

这意味着如果受害者没有所有加密文件的备份,攻击者将能够迫使他支付赎金以获取私钥。

纵深防御

那么我们如何防范这种威胁呢?有许多实际措施:

  1. 显然,您应该教育您的用户不要打开奇怪的电子邮件附件!
  2. 您可以禁止邮件附件中带有某些扩展名的文件(例如,可执行文件,业务中不需要的文件类型)。
  3. 您应确保允许打开附件的程序是最新的,例如如果运行最新版本的Microsoft Word或Acrobat 读er。
  4. 应禁止普通用户从允许其写入的位置(例如,其文档文件夹)执行程序。他们应该只能启动管理员批准的程序。在Windows中,可以使用AppLocker来实现。
  5. 绝对不要使用管理员帐户来执行基本的用户任务,例如阅读电子邮件,上网冲浪或进行常规的办公室工作。
  6. 用户应该只能修改完成工作所需的文件。他们没有理由修改的文件应仅限于对其具有“只读”访问权限。
  7. 您应该在邮件服务器和工作站上运行最新的防病毒软件,以检测感染并进行防护。
  8. 您应该有一种方法可以检测文件服务器上的大量文件加密。您越早检测到攻击,您就越能够将其阻止,这意味着更少的数据丢失和更少的清理混乱的工作!这是FileAudit可以帮助您配置大量警报的地方。
  9. 您应该在安全的地方备份所有文件。

(更多措施可在此处找到)

AppLocker是出色的防线,因为如果只允许用户从指定的文件夹(例如“ c:\ Program files”和“ c:”)运行程序而不编写程序,则大多数恶意软件将无法感染计算机。 \视窗”。

但是,困难在于,越来越多的基于云的应用程序从用户配置文件运行,以便能够自动更新。因此,管理员可能需要处理AppLocker规则中的许多异常,具体取决于允许用户使用的应用程序类型。第二个困难是AppLocker仅在Windows的企业版和旗舰版中可用。

如何配置FileAudit以检测大规模加密检测

因此,现在我们有了一个好主意,即FileAudit可以在防御中发挥作用,我们如何配置它?

如果勒索软件正在加密文件夹中的文件或由FileAudit审核的共享,这将触发FileAudit中的许多访问事件,我们可以使用 大众进入警报 检测它。

但是,文件加密会生成哪些类型的文件访问?首先,需要读取文件内容以便加载到内存中。然后,将数据加密在内存中,将加密的数据写入新文件,最后删除原始文件。

因此,我们应该在FileAudit中看到三个连续的文件操作:读取,写入和删除。因此,为了检测文件服务器上的大规模加密攻击,我们应该设置三个批量警报:一个针对大规模读取,一个针对大量写入和一个针对大量删除。如果我们同时收到三个警报,则很可能会遇到加密攻击。

为了对此进行测试,我开发了一个小工具来加密特定文件夹中的所有文件。

加密文件特定文件夹

该工具允许生成其中包含许多文件的文件夹树。文件夹中文件的名称都将与EncryptMe *。*模式匹配,以避免以后在运行加密任务时出现任何错误。与模式不匹配的文件将不会被加密。该文件夹中大约有8000个文件。

要加密的文件夹树文件

生成文件夹树后,我们需要在FileAudit中配置要审核的文件夹。

在FileAudit中的文件夹上配置审核

然后,我们可以在FileAudit中创建三个质量警报,过滤条件为 访问类型; 分别 , 删除.

创建大量文件访问警报

我们暂时保留默认阈值。我们将在以后查看是否需要调整它们。

频率阈值大众进入警报

在添加到FileAudit监视路径的警报中,我们指定星号(*),以监视所有审核的路径。

监控审核路径

完成后,我们将保存警报,并确保已在FileAudit设置中正确设置了SMTP设置。

注意:您也可以配置“single access alert”用于可以从勒索软件生成的文件扩展名,例如.cryptolocker。下面的屏幕快照显示了常见勒索软件扩展的列表。

勒索软件警报

 

启动勒索软件模拟

现在,FileAudit中的所有内容都已准备就绪。我们使用鲍勃(Bob)帐户在工作站上打开会话,启动加密工具并指定以前使用UNC路径创建的文件夹。然后我们打 加密 按钮。

启动加密工具测试

立即我们检查根文件夹,我们看到文件的扩展名已更改,并且如果我们尝试显示文件的内容,则只有随机数据。

文件扩展名更改了勒索软件测试

然后,我们检查管理员的邮箱,然后按预期看到三个警报。但是我们每分钟也会收到连续的警报,因为加密花费的时间比延迟时间长(在这种情况下,超过一分钟)。

大规模警报检测加密攻击文件服务器

在FileAudit的文件访问查看器中,我们看到了我们怀疑的内容的确认。对于每个文件,读取文件,写入新文件,然后删除原始文件。

读写删除访问加密攻击文件服务器

如果我们查看FileAudit中的统计信息,则负责大规模加密的用户位于 前5名用户 进行加密的IP地址位于 前5个来源.

报告文件访问勒索软件fileaudit

 

现在我们’我看过如何检测攻击,让’s看如何停止它。随着 发行FileAudit 6,您现在可以使用每次触发特定警报时都可以创建和执行的脚本,对攻击做出反应以避免重大损失。

因此,在这种情况下,您可以执行脚本以在触发三个读取,写入和删除警报时自动注销用户。这样,您不仅可以在IT部门介入时立即停止攻击。

因此,我们返回到警报的配置。对于每个警报,在执行选项卡中,我们将脚本配置为检测三个警报,如下所示:

执行脚本勒索软件

详细而言,参数字段为:

-UserName {UserName} -AccessTypes {DisplayAccessTypes} -ServerName‘{ServerName}’ -ComputerName ‘{ClientNames}’

所有三个警报必须配置相同的脚本。

注1: 要下载脚本, 点击这里.

笔记2: 运行脚本的用户帐户必须是域管理员帐户,因为脚本会关闭触发警报的用户会话(这是运行勒索软件进程的帐户)。

 

勒索软件模拟现实吗?

测试成功,但是此模拟是否类似于来自加密勒索软件的真实攻击?

一些攻击说明表明 CryptoWall是常见且危险的勒索软件,能够以两种方式加密230 GB的数据 小时,相当于30 MB / s。

例如,对于平均文件大小为200 KB的文件,如果我使用模拟工具加密一个文件夹(共78个文件),总大小为1.6 GB,则需要40秒钟。这相当于每秒40 MB / s或200个文件(或每分钟12,000个文件)的加密速度。这表明我们的工具模拟了与真实勒索软件类似的加密速度。

此外,勒索软件程序是 已知使用AES 256位加密 加密文件,就像我们的模拟工具一样。因此,没有理由我们应该在速度上有所差异。

FileAudit中的默认阈值每分钟100次访问将触发警报。当然,平均文件大小可能会有所不同,从而影响可以更改的每分钟文件速度,但是 勒索软件仅加密大文件的前MB。由于阈值比我们在攻击期间的预期值小100倍,因此有一定的余地可以应对。

关于仿真工具,还有一个小细节需要提及。使用相同的文件名创建加密文件,但添加扩展名.crypt。这是特定于我们的模拟的。加密勒索软件的行为可能有所不同。新的文件扩展名可能会有所不同,有时加密文件的名称也会被加密。这使得很难在所有加密文件中找到特定文件。无论如何,这对FileAudit的检测没有影响。

最后一点是,在模拟中,加密是在FileAudit审核的单个文件夹中进行的。但是在现实生活中,您将需要在文件服务器共享的所有文件夹上配置审核,因为未经FileAudit审核的文件的加密将保持未被检测到的状态。

结论

所以现在您知道如何检测– 和 stop –使用以下工具加密网络上的勒索软件 FileAudit!

但是,与信息安全一样,您不应该依赖单一的防线。防御深度是强大保护策略不可或缺的部分,您的终极防御线应始终作为后盾。 FileAudit仅在加密开始后才能检测到攻击。因此,即使您可以迅速停止勒索软件,也总会有一些文件要还原。

分享这个帖子 :

头像

Jean-Noël是IS Decisions的研究总监。

由miniOrange保护