Detecção do DarkSide ransomware
DarkSide ransomware apresenta aos utilizadores em máquinas alvo um URI personalizado que contém as suas informações vazadas. A carga útil deixa as máquinas a um nível mínimo de operação, apenas o suficiente para navegar nos sites dos atacantes para recolher as informações necessárias para efetuar o pagamento aos atacantes.
É um analista responsável pela postura geral de segurança da sua organização. Tem de ser capaz de detectar e investigar actividades invulgares que possam estar relacionadas com o DarkSide ransomware, e estas pesquisas ajudam-no a fazer isso.
Dados requeridos
Como utilizar o software Splunk para este caso de utilização
- Attempted credential dump from registry via reg exe
- BITSAdmin download file
- CertUtil download with URLCache and split arguments
- CertUtil download with VerifyCtl and split arguments
- Delete ShadowCopy with PowerShell
- Detect PsExec with accepteula flag
- Detect RClone command line usage
- Detect renamed PSExec
- Detect renamed RClone
- Extraction of registry hives
- SLUI run as elevated
- SLUI spawning a process
- Windows Bitsadmin download file
- Windows CertUtil URLCache download
- Windows CertUtil VerifyCtl download
As seguintes pesquisas requerem o Syson:
Próximos passos
Além disso, esses recursos do Splunk podem ajudá-lo a entender e implementar este caso de uso:Caso de uso: Detecção de ataques de ransomware .
- Caso de uso: Investigar ataques de ransomware
- E-book: Ransomware, malware and cyberthreats
- Webinar: Detection of ransomware and prevention strategies
- Blog: Operationalize ransomware detections quickly and easily with Splunk