Comment détecter les ransomwares cachés avec la corrélation de données

Par Stefan Radtke

| 30 septembre 2021 |

Gestion des données, Sécurité des données

Cette histoire vous vient en tant que partie 2 de 4 dans notre Série de détection de ransomware dans lequel nous explorons comment analyser et protéger vos données Qumulo à l'échelle du cloud. Dans la partie 1, nous avons examiné comment détecter les ransomwares des modèles d'accès qui pourraient indiquer une menace pour vos données (avec Qumulo et Azure Sentinel). Dans la partie 2 ci-dessous, nous abordons l'étape suivante pour détecter les ransomwares : comment corréler les données entrantes avec des données externes, telles que des listes blanches ou des listes noires.

Auparavant, nous analysions le workflow de détection de ransomware utilisé avec Azure Sentinel pour détecter les modèles d'accès suspects aux données Qumulo. L'une des caractéristiques du ransomware est qu'il peut se cacher indéfiniment dans votre système pour permettre à son auteur de planifier une attaque ciblée. Dans cette histoire, nous ajouterons des techniques simples de corrélation de données au processus de détection des ransomwares pour découvrir et prévenir les attaques.

Les données externes, telles que les listes blanches ou noires, peuvent être implémenté dans Azure Sentinel de diverses façons. Par exemple sous forme de listes de surveillance ou de tableaux dans des fichiers CSV. Dans ce cas, nous utiliserons des données externes sous forme de tables statiques. Voir les exemples suivants à titre d'illustration :
1. Détecter les fichiers avec de mauvaises extensions de fichiers suspectes ou connues et ;
2. Détection d'un nombre élevé de réponses d'accès refusé dans les journaux d'événements de Qumulo.

Workflow de détection de ransomware avec corrélation de données

Le workflow de détection de ransomware ci-dessous ressemble assez à celui expliqué précédemment dans la partie 1—qui explore détection des modèles d'accès aux ransomwares. La différence ici est la corrélation des données ajoutées avec les données entrantes. Examinons ci-dessous comment procéder.

workflow de détection de ransomware

Méthodes de corrélation des données et de détection des ransomwares

Ensuite, nous aborderons les méthodes de corrélation des données et de détection des ransomwares ou d'autres événements de violation de données. Ces méthodes peuvent également être appliquées facilement pour découvrir d'autres activités suspectes.

1. Détectez les extensions de fichiers suspectes ou connues

Ici, nous vérifions les fichiers entrants par rapport à une liste externe d'extensions de fichiers indésirables (liste noire). Nous créons cette liste sous forme de fichier CSV, puis la stockons dans un conteneur blob.

Ce CSV contient une liste d'extensions de fichiers incorrectes connues :

Extension,Description .dam,Dommages Malware .dr,composant compte-gouttes pour un malware .gen, malware détecté à l'aide d'une signature générique .kit, constructeur de virus .ldr, composant de chargeur d'un malware .pak, malware compressé .plugin, plug- dans le composant .remnants, restes d'un virus .worm, composant de ver de ce malware .!bit, une catégorie interne utilisée pour faire référence à certaines menaces .!cl, une catégorie interne utilisée pour faire référence à certaines menaces .!dha, une catégorie interne utilisé pour désigner certaines menaces .!pfn, une catégorie interne utilisée pour désigner certaines menaces .!plock, une catégorie interne utilisée pour désigner certaines menaces .!rfn, une catégorie interne utilisée pour désigner certaines menaces .!rootkit, rootkit composant de ce malware .@m: worm mailers .@mm: mass mailer worm

Nous téléchargeons le fichier CSV dans un conteneur blob privé et nous obtenons l'URL suivante pour y accéder :

https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv


However, because we don’t want this list to be publicly accessible, we create a SAS token in the Azure portal. In this way, we can access the file without providing the storage account key. The URL that we would get out of it looks like this:
https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D

To query the content of the blacklist, we write the following query in Azure Sentinel:
externaldata (FileExt: string, Detail: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true)
This would result in displaying the content of the CSV table (we skipped the output):

Now we can use the following query to check all touched files during the last 10 minutes on unwanted file extensions:
let timerange = 10min;
let blacklist = externaldata (FileExt: string) [h"https://sradtkeloganalytics.blob.core.windows.net/tables/unwanted_file_extensions.csv?sv=2020-04-08&st=2021-05-18T17%3A33%3A45Z&se=2025-12-31T18%3A33%3A00Z&sr=b&sp=r&sig=k3gHLkq7ip4sEDLmrVw3eDrjafEpvjzZG8zA7k6bkGU%3D"] with (ignoreFirstRecord=true);
QumuloAuditEvents
| where EventTime >= ago(timerange)
| where FileExt1 in (blacklist)
This query would list all events where files have been accessed whose file extension is listed in the external blacklist:

According to the detection workflow shown above, alerts and incident(s) would be created automatically. The security incident could be assigned to a security analyst for further investigation or a playbook can be triggered which launches automated responses.
2. Access Denied responses above threshold
In this example method, we want to detect certain actions on the filesystem. We are looking for actions that contain “access denied” responses from the filesystem that exceeded a high threshold within a time period. If access is denied more than 10 times a second, that indicates suspicious activity and the security team must be alerted.
For this use case we create a watchlist that is a static table used for lookups. In this example, the watchlist Q-Response-Codes contains all file system response codes. We can query the watchlist with the following:

_GetWatchlist('Q-Response-Messages')


Now, to track incoming events of the last 10 minutes against this list and catch any event with a response code other than “ok,” we can run the following query:
let timerange = 10min;
let watchlist = (_GetWatchlist('Q-Response-Messages') | where ErrorStatus <> "ok" | project  ErrorStatus) ;
QumuloAuditEvents
| where EventTime >= ago(timerange)
| where ResponseCode in (watchlist)
We could also limit the watchlist to fs_access_denied_error and http_unauthorized_error if we wanted the alerts to occur only on those events. To automatically alert only on access denied errors that exceed a certain threshold, we’ll create an analytic rule in Azure Sentinel that is fired up in regular intervals, and will trigger an alert only if the number of events exceeds a threshold that we can configure. From here, the alerts or incidents would be processed according to the workflow described above.

Next up is part 3 in this series on ransomware detection! We’ll look at how to use external Threat Intelligence data to support data correlation.
Qumulo Recover Q: Disaster recovery solution to help guard against ransomware
Qumulo Audit logs can be used via syslog with any SIEM solution for detection.
We also offer Qumulo Recover Q—a flexible cloud based disaster recovery solution that fits into any existing business continuity strategy. Active protection features help ensure data safety and integrity, while built-in snapshot and cloud replication features add layers of defense against real-world threats that could compromise your data or operations.
Using Recover Q in the cloud can help optimize your company’s spending for business continuity by reducing on-premises costs in favor of an on demand, cloud-native service.
Further Reading
Have a look at our two white papers to learn more about ransomware detection with Qumulo audit data and SIEM platforms, and the built-in data services (Qumulo Protect and Qumulo Secure) that come standard with your Qumulo software subscription:

Security Architecture and Best Practices to Counter Malware
Threat Hunting with Qumulo Audit and Azure Sentinel

Like what you see?
Contact us to book a demo or arrange a meeting. You can even test drive a fully functional Qumulo environment right from your browser:
Test drive Qumulo for free
Explore a fully functional Qumulo environment, right in your browser.
Try Demo

 
				
				
				Share this post

Stefan Radtke


Dr. Stefan Radtke, Field CTO EMEA, has spent his career working in technology and is the principal evangelist of universal-scale storage for Qumulo. He started as employee #1 in EMEA in 2017 as Technical Director where he built a fantastic multi-national technical team. Recently he took over the role of the Field CTO and he is now focusing on building a strong technical team for Cloud Q. He’s a certified AWS Solution Architect Professional and Azure Solution Architect Expert.

 
				
				
				
				
				
				Categories
    
        Case Study
    
        Company & Culture
    
        Customer Success
    
        Customers
    
        Data Management
    
        Data Security
    
        DataBytes
    
        Engineering
    
        Higher Ed
    
        How To
    
        Hybrid Cloud
    
        Perspective & Trends
    
        Product & Solutions
    
        Qumulo on Quora
    
        Thought Leaders