Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Detectie van Ransomware – stap 1: verbeter logging

Half open laptop
Kennisbank

Dit artikel is het eerste artikel uit een serie blogs genaamd “8 stappen die helpen om ransomware te detecteren”. Deze 8 stappen moeten er voor zorgen dat de zichtbaarheid op uw netwerk en endpoints toeneemt en er een effectief incident response proces uitgevoerd kan worden.

Een veel gehoorde klacht bij incident response teams is dat er te weinig informatie voorhanden was voor een goede analyse van een incident. Hierdoor kan kostbare tijd verloren gaan. Met extra logging is dit probleem deels op te lossen. In dit artikel zoomen we daarom in op het optimaliseren van de logging in Windows. We kiezen specifiek voor Windows omdat de Windows infrastructuur het voornaamste doelwit is bij doelgerichte aanvallen met Ransomware (Sophos, 2019).

Het is voor een incident response team aantrekkelijk om allerlei hypermoderne tools te hebben die met elkaar integreren. Echter met alleen deze dure softwareoplossingen los je twee problemen niet op:

  1. Indien een hacker binnendringt is het vaak mogelijk om voor de hacker vast te stellen welke antivirus of endpoint protectie oplossing wordt gebruikt. Een hacker kan dan onderzoek doen naar de zwakke plekkenvan deze software in zijn lab en juist die technieken gebruiken om detectie en response te ontwijken. Zie bijvoorbeeld deze studie,waarbij te zien is welke technieken wel en welke niet gedetecteerd worden door een selectie van “Endpoint Detection and Response” oplossingen.
  2. Met de juiste rechten kan de detectiesoftware door de aanvaller uitgeschakeld worden.

Op het moment dat deze zaken gebeuren is een incident responder aangewezen op de logging die gegenereerd wordt op het endpoint.

De standaard aanwezige logging in Windows is voor een deel te gebruiken om malafide activiteiten op te sporen. Echter belangrijke zaken ontbreken, wat de analyse van een incident niet ten goede komt (JPCERT, 2017). Bij incident response specialisten wordt daarom vaak de gratis Microsoft tool Sysmon (Microsoft, 2019) aanbevolen om de Windowslogs te verrijken met relevante informatie die helpen om “living of the land” technieken op te sporen. Ook commerciële partijen als Cisco raden deze tool aan als ondersteuning in hun incident response, naast hun grote assortiment aan securityproducten (Cisco, 2018).

Voor een goede voorbeeldconfiguratie verwijzen we graag naar SwiftOnSecurity (SwiftOnSecurity, 2019) en naar TrustedSec voor kwalitatief goede achtergrondinformatie (TrustedSec, 2020).

Ook is voor loganalyse door Sysmon veel software kosteloos beschikbaar voor incident responders om analyses uit te voeren en malafide patronen te onderscheiden in deze logs (Hansson, 2020). Ook zonder commerciële securityoplossingen kunt u dus al direct aan de slag met deze logging!

Naast de gratis tool Sysmon stelt Microsoft u ook in staat om de logging uit te breiden. Microsoft heeft een security baseline opgesteld waarbij zij aanraadt een aantal audit policies te activeren (Micorosoft, 2017). Deze baseline is niet standaard actief in de standaard Windows installatie.

Z-CERT raadt aan om tenminste deze baseline te implementeren. Er zijn ook nog uitgebreidere logging opties beschikbaar, echter houdt er rekening mee dat dan de hoeveelheid loggegevens heel groot kan worden. Bij het implementeren van Sysmon en/of de logging baseline van Microsoft moet altijd wel getest worden of u de hoeveelheid logging wat betreft dataopslag aankan en hoe lang u de data kan bewaren op basis van de productie van logdata. Houdt hierbij rekening met wettelijke eisen ten aanzien van de opslag van logging.

Powershell is een populaire “weapon of choice” voor cybercriminelen. Voor incident response teams is het belangrijk na te kunnen gaan welke powershell-code uitgevoerd is. Gelukkig zijn er binnen Windows verschillende mogelijkheden voor het loggen van powershell, hierdoor is te achterhalen welke code is uitgevoerd. Meer informatie voor het managen van powershell is te vinden in het artikel van EU-CERT (EU-CERT, 2019). Wel is belangrijk dat er geen vertrouwelijke informatie in de powershell scripts staan die van de eigen organisatie zijn. Deze wil je niet in centrale logging systemen hebben (zoals wachtwoorden).

Met name deze logs zijn heel belangrijk voor het detecteren van “living of the land” technieken en andere activiteiten van hackers. De domaincontroller logs geven een helicopter view over alle “domain-joined” computers en kunnen patronen zien die wijzen op malafideactiviteiten. Bijvoorbeeld dat iemand met 1 account op vele verschillende computers of servers probeert in te loggen. Vergeet vooral ook niet op de domaincontrollers ten minste de security baseline van Microsoft te implementeren (Micorosoft, 2017). Daarnaast zijn domaincontrollers, belangrijkste doelwitten voor een hacker die een heel netwerk wil compromitteren en is extra aandacht voor de logging op deze servers, geen overbodige luxe(Red Canary, 2020).