Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Detectie van ransomware – stap 2: afspraken

Laptop met een slot
Kennisbank

Dit artikel is het tweede eerste artikel uit een serie blogs genaamd “8 stappen die helpen om ransomware te detecteren”. Deze 8 stappen moeten er voor zorgen dat de zichtbaarheid op uw netwerk en endpoints toeneemt en er een effectief incident response proces uitgevoerd kan worden.

Afspraken

Indien uw IT-afdeling intern goede afspraken heeft gemaakt over hoe er gewerkt wordt dan is afwijkend gedrag makkelijker te identificeren. Het verdient aanbeveling om deze afspraken nauwkeurig te definiëren in uw IT-beleid in samenspraak met het team dat verantwoordelijk is voor netwerk- en systeembeheer en andere IT-specialisten. Uw belangrijkste data zal zich bevinden op de servers in uw omgeving. Indien gedrag van deze servers en ook het gedrag van systeembeheerders op deze servers voorspelbaar is, kunt u op afwijkingen hiervan monitoren. Het is belangrijk dat systeembeheerders begrijpen dat het beleid wat u definieert geen betuttelende maatregelen zijn, maar ten behoeve van het detecteren van malafide activiteiten.

Servermanagement beleid

  • Definieer welke tools wel en vooral niet gebruikt mogen worden bij het managen van een server.

Hackers gebruiken vaak legitieme tools om hun doelen te verwezenlijken. Een voorbeeld van zo’n tools is de Microsoft tool PsExec die b.v. gebruikt wordt door kwaadwillenden om ransomware te distribueren over de gehele omgeving (Sophos, 2019). Echter, het is ook mogelijk om Psexex legitiem te gebruiken, dit is vaak niet nodig omdat er ook alternatieven zijn. Als u intern beleid heeft gemaakt dat deze tool niet gebruikt wordt, en u houdt zich daar strikt aan, dan is deze regel alleen al in staat om vele aanvallers op te sporen. U kunt uw security software hier op laten monitoren (JPCERT, 2017). Andere bekende voorbeeld van een veel gebruikte commando’s zijn “nltest /domain_trusts /all_trusts” en “vssadmin.exe Delete Shadows /All /Quiet”. Legitieme commando’s die in de praktijk zelden gebruikt worden door uw systeembeheerders en dus zeer geschikt om activiteiten van ransomware-groepen te detecteren (DFIR, 2020).

Hetzelfde geldt voor het gebruik van Powershell. Cybercriminelen starten Powershell vaak met de “enc” parameter. Bijvoorbeeld “powershell.exe -enc parameter samen met de afspraak dit nooit intern te gebruiken, is een goede indicator van malafide activiteiten.

  • Definieer welke services u gebruikt om u toegang te verschaffen tot servers en monitor op afwijkingen hiervan. Indien u een server alleen beheert via RDP, dan is SSH of powershell remoting verdacht.
  • Op welke tijdstippen wordt gewerkt? Bijvoorbeeld als er eigenlijk nooit gewerkt wordt door systeembeheer na 21:00 ’s avonds, dan is RDP-verkeer rond die tijdstippen verdacht. Aanvallers kiezen vaak de momenten waarop weinig gewerkt wordt om hun activiteiten uit te voeren (FirEye, 2020).
  • Maak afspraken over internetgebruik op servers. Het is verstandig om niet toe te laten dat er op servers gebrowset kan worden op het internet. Dit kan bijvoorbeeld door het webverkeer op servers via een proxy te laten lopen, waarop een aantal websites op de allowlist staan die nodig zijn voor beheer. Afwijkingen hierop worden gelogd, soms moet op basis van de geregistreerde afwijkingen de allowlist uitgebreid wordt of er iets aan de hand is wat niet de bedoeling is. Het reguleren van internetgebruik voorkomt dat iemand per abuis malware opstart van een bepaalde website. Echter het kan ook een rol spelen bij detectie van malafide activiteiten. Als bijvoorbeeld Twitter-verkeer op een bepaalde server plaatsvindt, zou dit een command & control kanaal kunnen zijn van een aanvaller (Pentestlab, 2017).