Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Schadsoftware ist jede Software, die darauf ausgelegt ist, Schäden, Unterbrechungen oder Kompromittierung der Sicherheit und Funktionalität von Computersystemen, Netzwerken oder Geräten zu verursachen. Es umfasst verschiedene Arten von Bedrohungen, wie Viren, Würmer, Trojaner, Ransomware, Spyware, Adware, Rootkits und mehr. Schadsoftware kann verschiedene negative Auswirkungen haben, z. B. das Stehlen vertraulicher Daten, das Verschlüsseln oder Löschen von Dateien, das Anzeigen unerwünschter Anzeigen, das Verlangsamen der Leistung oder sogar die Kontrolle über das Gerät.
Es ist wichtig, Schadsoftware von einem System oder Netzwerk zu identifizieren und zu beseitigen. Dazu können Sie verschiedene Erkennungstechniken verwenden, z. B. signaturbasierte, verhaltensbasierte, heuristische oder maschinelle Lerntechniken. Die Erkennung von Schadsoftware ist von entscheidender Bedeutung für den Schutz der Sicherheit und des Datenschutzes von Benutzern sowie die Integrität und Verfügbarkeit von Systemen und Netzwerken.
Das Feature Azure Firewall IDPS erkennt und verweigert Schadsoftware standardmäßig und kann verhindern, dass die Cloud-Workloads infiziert werden. Sie können diese Funktion weiter verbessern, indem Sie automatisierte Erkennungs- und Reaktionsfunktionen verwenden, indem Sie vordefinierte Erkennungsabfragen und Microsoft Sentinel verwenden. Sie können einige häufig vorkommende Schadsoftware in Azure Firewall-Protokollen wie z. B. Coinminer, Cl0p und Sunburst mithilfe vordefinierter KQL-Erkennungsabfragen für Azure Firewall erkennen.
Diese Erkennungen ermöglichen es Sicherheitsteams, Microsoft Sentinel-Warnungen zu empfangen, wenn Computer im internen Netzwerk Verbindungen zu Domänennamen oder IP-Adressen im Internet anfordern, die mit bekannten Indicators of Compromise (IOCs) verknüpft sind, wie in der Erkennungsregelabfrage definiert. True-Positive-Entdeckungen sollten als IOCs betrachtet werden. Anschließend können Teams zur Reaktion auf Sicherheitsvorfälle eine Reaktion initiieren und geeignete benutzerdefinierte Wartungsaktionen basierend auf diesen Erkennungssignalen implementieren.
Anweisungen zum Bereitstellen der Analyseregeln mithilfe der folgenden Abfragen finden Sie unter Erkennen neuer Bedrohungen mithilfe von Microsoft Sentinel mit azure Web Application Firewall.
Häufige Schadsoftware-Exploits
Die folgenden Schadsoftware-Exploits sind in den heutigen Netzwerken üblich.
Coinminer
Aufgrund des jüngsten Anstiegs des Kryptowährungs-Minings besteht ein steigender Bedarf an hochleistungsorientierten Netzwerkverarbeitungseinheiten. Das verteilte Rechnen breitet sich aus, und die Verfügbarkeit von Mining-Software ist sowohl in rechtlichen als auch in illegalen Kontexten weit verbreitet.
Coinminer stellt eine Art von Schadsoftware dar, die die Hardwareressourcen eines unwissenden Opfercomputers für den Kryptowährungs-Mining verwendet. Die Grafikverarbeitungseinheit (GPU) des nicht ahnungslosen Benutzer-PCs wird verwendet, um verschiedene Skripts zum Mining von Kryptowährungen und zum Berechnen von Transaktionsblockhashes auszuführen.
Um das Risiko dieser Bedrohungen zu mindern, implementieren Sie proaktive Maßnahmen an den typischen Einstiegspunkten. Dieser Ansatz umfasst die Sicherstellung, dass Jupyter-Software mit der richtigen Authentifizierung bereitgestellt wird, Webanwendungen konfigurieren und aktualisieren, um Sicherheitsrisiken zu minimieren, den externen Zugriff auf Docker zu steuern und zusätzliche Zero Trust-Prinzipien zu befolgen.
Verwenden Sie die folgende Erkennungsabfrage, um eine Analyseregel in Microsoft Sentinel zu erstellen, die diese Schadsoftware automatisch mithilfe von Azure Firewall-Protokollen erkennt und darauf reagiert.
// Coinminer Detection Rule
// Detects suspicious traffic patterns associated with coinmining activity in Azure Firewall logs
// Known coinminer ports and domains
let coinminerPorts = dynamic(["2375", "2376", "2377", "4243", "4244"]);
let coinminerdomains = dynamic(["teamtnt.red", "kaiserfranz.cc", "45.9.148.123"]);
union isfuzzy=true
// 1. Legacy diagnostics logs - port-based detection (Application rules)
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallApplicationRule"
| parse msg_s with Protocol 'request from ' SourceHost ':' SourcePort 'to ' DestinationHost ':' DestinationPort '. Action:' Action
| extend action_s = column_ifexists("action_s", ""), transactionId_g = column_ifexists("transactionId_g", "")
| where DestinationPort in (coinminerPorts)
| summarize CoinminerAttempts = count() by DestinationHost, DestinationPort
| where CoinminerAttempts > 10 // Adjust threshold as needed
),
// 2. Structured logs - port-based detection (IDPS signatures)
(AZFWIdpsSignature
| where DestinationPort in (coinminerPorts)
| summarize CoinminerAttempts = count() by DestinationIp, DestinationPort
| where CoinminerAttempts > 10 // Adjust threshold as needed
),
// 3. Legacy diagnostics logs - domain-based detection (DNS proxy)
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallDnsProxy"
| parse msg_s with "DNS Request: " ClientIP ":" ClientPort " - " QueryID " " Request_Type " " Request_Class " " Request_Name ". " Request_Protocol " " Request_Size " " EDNSO_DO " " EDNS0_Buffersize " " Response_Code " " Response_Flags " " Response_Size " " Response_Duration
| where Request_Name has_any(coinminerdomains)
| extend DNSName = Request_Name, IPCustomEntity = ClientIP
),
// 4. Legacy diagnostics logs - domain-based detection (Application rules)
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallApplicationRule"
| parse msg_s with Protocol ' request from ' SourceHost ':' SourcePort 'to' DestinationHost ':' DestinationPort '. Action:' Action
| where isnotempty(DestinationHost)
| where DestinationHost has_any(coinminerdomains)
| extend DNSName = DestinationHost, IPCustomEntity = SourceHost
),
// 5. Structured logs - domain-based detection (Application rules)
(AZFWApplicationRule
| where isnotempty(Fqdn)
| where Fqdn has_any(coinminerdomains)
| extend DNSName = Fqdn, IPCustomEntity = SourceIp
),
// 6. Structured logs - domain-based detection (DNS queries)
(AZFWDnsQuery
| where isnotempty(QueryName)
| where QueryName has_any(coinminerdomains)
| extend DNSName = QueryName, IPCustomEntity = SourceIp
),
// 7. Structured logs - domain-based detection (IDPS signatures)
(AZFWIdpsSignature
| where DestinationIp has_any(coinminerdomains)
| extend DNSName = DestinationIp, IPCustomEntity = SourceIp
),
// 8. Structured logs - signature description-based detection (IDPS)
(AZFWIdpsSignature
| where Description contains "coinminer"
| extend DNSName = DestinationIp, IPCustomEntity = SourceIp
)
Cl0p
Cl0p ist Ransomware, die funktioniert, indem sie unverwechselbare Verschlüsselungsschlüssel auf die Dateien des Opfers anwenden und dann ein Lösegeld für die Entschlüsselung der Dateien anfordern. Es nutzt eine Sicherheitslücke in der Datenübertragungssoftware MOVEit und sendet Spear-Phishing-E-Mails an zahlreiche Mitarbeiter, in der Hoffnung, cl0p zu liefern. Anschließend verwendet es Tools wie truebot und dewmode, um sich seitlich innerhalb des Netzwerks zu bewegen und Daten zu exfiltrieren. Die Ransomware verschlüsselt Dateien mithilfe des AES-256-Verschlüsselungsalgorithmus.
Cl0p Sicherheitsrisiken sind CVE-2023-35036, CVE-2023-34362 und CVE-2023-35708. Im Juni 2023 veröffentlichte das FB und die CISA eine Pressemitteilung über diese Ausbeutung. Die Auswirkungen von cl0p-Ransomware sind an mehreren Universitäten im Mittleren Westen der USA und Regierungsorganisationen verzeichnet. Fluggesellschaften, TV-Netzwerke und uk-basierte Einzelhandelsgeschäfte sind die neuesten Opfer der cl0p Ransomware-Bande.
Verwenden Sie die folgende Erkennungsabfrage, um eine Analyseregel in Microsoft Sentinel zu erstellen, die diese Schadsoftware automatisch mithilfe von Azure Firewall-Protokollen erkennt und darauf reagiert.
Erkennungsabfrage für Cl0p: Firewall-Schadsoftwareerkennungen für Sentinel/Erkennung – Analyseregelabfrage für Cl0p.json
Sunburst-Schadsoftware
Diese Schadsoftware verwendet einen Domänengenerierungsalgorithmus (DGA), um die Erkennung zu umgehen und einen Befehls- und Kontroll-Backdoor-Angriff einzurichten. Das in der Syntax verwendete Muster und die ständige Änderung der Domäneninformationen machen es für Sicherheitstools schwierig, die von der Schadsoftware verwendeten Domänen zu identifizieren.
Verwenden Sie die folgende Erkennungsabfrage, um eine Analyseregel in Microsoft Sentinel zu erstellen, die diese Schadsoftware automatisch mithilfe von Azure Firewall-Protokollen erkennt und darauf reagiert.
Abfrage zur Erkennung von Sunburst Malware: Firewall Malware-Erkennungen für Sentinel/Erkennung - Abfrage der Analyseregeln für Sunburst.json