Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Malware es cualquier software diseñado para causar daños, interrupciones o poner en peligro la seguridad y la funcionalidad de los sistemas informáticos, redes o dispositivos. Incluye diversos tipos de amenazas, como virus, gusanos, troyanos, ransomware, spyware, adware, rootkits, etc. El malware puede tener varios impactos negativos, como robar datos confidenciales, cifrar o eliminar archivos, mostrar anuncios no deseados, ralentizar el rendimiento o incluso tomar el control del dispositivo.
Es importante identificar y eliminar malware de un sistema o red. Para ello, puede emplear diversas técnicas de detección, como técnicas basadas en firmas, basadas en comportamientos, heurística o basadas en aprendizaje automático. La detección de malware es fundamental para proteger la seguridad y la privacidad de los usuarios, así como la integridad y disponibilidad de sistemas y redes.
La característica IDPS de Azure Firewall detecta y deniega automáticamente el malware de forma predeterminada y puede impedir que las cargas de trabajo en la nube se infecten. Puede mejorar aún más esta funcionalidad mediante el uso de la detección y respuesta automatizadas mediante consultas de detección precompiladas y Microsoft Sentinel. Puede detectar algún malware común que se encuentra en los registros de Azure Firewall, como Coinminer, Cl0py Sunburst mediante consultas de detección de KQL predefinidas para Azure Firewall.
Estas detecciones permiten a los equipos de seguridad recibir alertas de Microsoft Sentinel cuando las máquinas de la red interna solicitan conexiones a nombres de dominio o direcciones IP en Internet que están vinculados a indicadores conocidos de peligro (IOC), tal como se define en la consulta de regla de detección. Las detecciones positivas verdaderas deben considerarse IOC. Entonces, los equipos de respuesta a incidentes de seguridad pueden iniciar una respuesta e implementar acciones de corrección personalizadas adecuadas en función de estas señales de detección.
Para obtener instrucciones para implementar las reglas analíticas mediante las siguientes consultas, consulte Detección de nuevas amenazas mediante Microsoft Sentinel con Azure Web Application Firewall.
Vulnerabilidades de seguridad comunes de malware
Las siguientes vulnerabilidades de seguridad de malware son habituales en las redes actuales.
Coinminer
Debido al aumento reciente de la minería de criptomoneda, se usan cada vez más unidades de procesamiento de red de alto rendimiento. La informática distribuida se está expandiendo y el uso de software de minería de datos se ha generalizado, tanto en contextos legales como ilegales.
Coinminer representa un tipo de malware que mina criptomonedas con los recursos de hardware de una víctima que no sospecha nada. La unidad de procesamiento de gráficos (GPU) del equipo de la víctima se usa para ejecutar varios scripts destinados a la minería de criptomonedas y a calcular hashes de bloques de transacciones.
Para mitigar el riesgo de estas amenazas, implemente medidas proactivas en los puntos de entrada típicos. Este enfoque incluye asegurarse de que el software de Jupyter se implementa con la autenticación adecuada, configurando y actualizando aplicaciones web para minimizar las vulnerabilidades, controlar el acceso externo a Docker y seguir los principios adicionales de confianza cero.
Use la siguiente consulta de detección para crear una regla de análisis en Microsoft Sentinel que detecte y responda automáticamente a este malware mediante los registros de Azure Firewall.
// Coinminer Detection Rule
// Detects suspicious traffic patterns associated with coinmining activity in Azure Firewall logs
// Known coinminer ports and domains
let coinminerPorts = dynamic(["2375", "2376", "2377", "4243", "4244"]);
let coinminerdomains = dynamic(["teamtnt.red", "kaiserfranz.cc", "45.9.148.123"]);
union isfuzzy=true
// 1. Legacy diagnostics logs - port-based detection (Application rules)
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallApplicationRule"
| parse msg_s with Protocol 'request from ' SourceHost ':' SourcePort 'to ' DestinationHost ':' DestinationPort '. Action:' Action
| extend action_s = column_ifexists("action_s", ""), transactionId_g = column_ifexists("transactionId_g", "")
| where DestinationPort in (coinminerPorts)
| summarize CoinminerAttempts = count() by DestinationHost, DestinationPort
| where CoinminerAttempts > 10 // Adjust threshold as needed
),
// 2. Structured logs - port-based detection (IDPS signatures)
(AZFWIdpsSignature
| where DestinationPort in (coinminerPorts)
| summarize CoinminerAttempts = count() by DestinationIp, DestinationPort
| where CoinminerAttempts > 10 // Adjust threshold as needed
),
// 3. Legacy diagnostics logs - domain-based detection (DNS proxy)
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallDnsProxy"
| parse msg_s with "DNS Request: " ClientIP ":" ClientPort " - " QueryID " " Request_Type " " Request_Class " " Request_Name ". " Request_Protocol " " Request_Size " " EDNSO_DO " " EDNS0_Buffersize " " Response_Code " " Response_Flags " " Response_Size " " Response_Duration
| where Request_Name has_any(coinminerdomains)
| extend DNSName = Request_Name, IPCustomEntity = ClientIP
),
// 4. Legacy diagnostics logs - domain-based detection (Application rules)
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallApplicationRule"
| parse msg_s with Protocol ' request from ' SourceHost ':' SourcePort 'to' DestinationHost ':' DestinationPort '. Action:' Action
| where isnotempty(DestinationHost)
| where DestinationHost has_any(coinminerdomains)
| extend DNSName = DestinationHost, IPCustomEntity = SourceHost
),
// 5. Structured logs - domain-based detection (Application rules)
(AZFWApplicationRule
| where isnotempty(Fqdn)
| where Fqdn has_any(coinminerdomains)
| extend DNSName = Fqdn, IPCustomEntity = SourceIp
),
// 6. Structured logs - domain-based detection (DNS queries)
(AZFWDnsQuery
| where isnotempty(QueryName)
| where QueryName has_any(coinminerdomains)
| extend DNSName = QueryName, IPCustomEntity = SourceIp
),
// 7. Structured logs - domain-based detection (IDPS signatures)
(AZFWIdpsSignature
| where DestinationIp has_any(coinminerdomains)
| extend DNSName = DestinationIp, IPCustomEntity = SourceIp
),
// 8. Structured logs - signature description-based detection (IDPS)
(AZFWIdpsSignature
| where Description contains "coinminer"
| extend DNSName = DestinationIp, IPCustomEntity = SourceIp
)
Cl0p
Cl0p es ransomware que funciona aplicando claves de cifrado distintivas a los archivos de la víctima y luego solicitando un rescate por el descifrado de los archivos. Usa una vulnerabilidad en el software de transferencia de datos MOVEit y envía correos electrónicos de suplantación de identidad (phishing) a numerosos empleados con la esperanza de entregar cl0p. A continuación, usa herramientas como truebot y dewmode para moverse lateralmente dentro de la red y filtrar datos. El ransomware cifra los archivos mediante el algoritmo de cifrado AES-256.
Cl0p las vulnerabilidades incluyen CVE-2023-35036, CVE-2023-34362 y CVE-2023-35708. En junio de 2023, el FBI y la CISA publicaron un comunicado de prensa sobre esta explotación. Varias organizaciones gubernamentales y universidades del Medio Oeste de EE. UU. han recibido ataques por cl0p. Las aerolíneas, las redes de TELEVISIÓN y las tiendas minoristas basadas en el Reino Unido son las víctimas más recientes de la cl0p banda ransomware.
Use la siguiente consulta de detección para crear una regla de análisis en Microsoft Sentinel que detecte y responda automáticamente a este malware mediante los registros de Azure Firewall.
Consulta de detección para Cl0p: Detecciones de malware de firewall para Sentinel/Detección: consulta de reglas analíticas para Cl0p.json
Malware Sunburst
Este malware usa un algoritmo de generación de dominios (DGA) para eludir la detección y establecer un ataque de puerta trasera de comando y control. El patrón usado en la sintaxis y el cambio constante de la información de dominio dificultan que las herramientas de seguridad identifiquen los dominios usados por el malware.
Use la siguiente consulta de detección para crear una regla de análisis en Microsoft Sentinel que detecte y responda automáticamente a este malware mediante los registros de Azure Firewall.
Consulta de detección de malware Sunburst: detecciones de malware de firewall para Sentinel/Detección: consulta de reglas de análisis para Sunburst.json