Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Malware é qualquer software projetado para causar danos, interrupções ou comprometer a segurança e a funcionalidade de sistemas de computador, redes ou dispositivos. Ele inclui diversos tipos de ameaças, como vírus, worms, trojans, ransomware, spyware, adware, rootkits e muito mais. O malware pode ter vários impactos negativos, como roubar dados confidenciais, criptografar ou excluir arquivos, exibir anúncios indesejados, diminuir o desempenho ou até mesmo assumir o controle do dispositivo.
É importante identificar e eliminar malware de um sistema ou rede. Você pode fazer isso empregando várias técnicas de detecção, como técnicas baseadas em assinatura, baseadas em comportamento, baseadas em heurística ou baseadas em machine learning. A detecção de malware é vital para proteger a segurança e a privacidade dos usuários, bem como a integridade e a disponibilidade de sistemas e redes.
O recurso IDPS do Firewall do Azure detecta e nega malware automaticamente por padrão e pode impedir que as cargas de trabalho de nuvem sejam infectadas. Você pode aprimorar ainda mais essa funcionalidade empregando detecção e resposta automatizadas usando consultas de detecção predefinidas e o Microsoft Sentinel. Você pode detectar alguns malwares comuns encontrados em logs do Firewall do Azure, como Coinminer, Cl0pe Sunburst usando consultas de detecção de KQL predefinidas para o Firewall do Azure.
Essas detecções permitem que as equipes de segurança recebam alertas do Microsoft Sentinel quando computadores na rede interna solicitam conexões com nomes de domínio ou endereços IP na Internet vinculados a IOCs (Indicadores de Comprometimento) conhecidos, conforme definido na consulta de regra de detecção. As detecções positivas verdadeiras devem ser consideradas como IOCs. Em seguida, as equipes de resposta a incidentes de segurança podem iniciar uma resposta e implementar ações de correção personalizadas apropriadas com base nesses sinais de detecção.
Para obter instruções para implantar as regras analíticas usando as consultas a seguir, consulte Detectar novas ameaças usando o Microsoft Sentinel com o Firewall do Aplicativo Web do Azure.
Exploits comuns de malware
Os exploits de malware a seguir são comuns nas redes atuais.
Coinminer
Devido ao recente aumento na mineração de criptomoedas, há uma necessidade crescente de unidades de processamento de rede de alto desempenho. A computação distribuída está se expandindo e a disponibilidade generalizada de software de mineração, tanto em contextos legais quanto ilegais.
Coinminer representa um tipo de malware que usa os recursos de hardware do computador de uma vítima involuntária para mineração de criptomoedas. A GPU (unidade de processamento gráfico) do computador do usuário desavisado é usada para executar vários scripts destinados à mineração de criptomoedas e ao cálculo de hashes de bloco de transação.
Para atenuar o risco dessas ameaças, implemente medidas proativas nos pontos de entrada típicos. Essa abordagem inclui garantir que o software Jupyter seja implantado com autenticação adequada, configurar e atualizar aplicativos Web para minimizar vulnerabilidades, controlar o acesso externo ao Docker e seguir princípios adicionais de Confiança Zero.
Use a consulta de detecção a seguir para criar uma regra de análise no Microsoft Sentinel que detecta e responde automaticamente a esse malware usando logs do Firewall do Azure.
// Coinminer Detection Rule
// Detects suspicious traffic patterns associated with coinmining activity in Azure Firewall logs
// Known coinminer ports and domains
let coinminerPorts = dynamic(["2375", "2376", "2377", "4243", "4244"]);
let coinminerdomains = dynamic(["teamtnt.red", "kaiserfranz.cc", "45.9.148.123"]);
union isfuzzy=true
// 1. Legacy diagnostics logs - port-based detection (Application rules)
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallApplicationRule"
| parse msg_s with Protocol 'request from ' SourceHost ':' SourcePort 'to ' DestinationHost ':' DestinationPort '. Action:' Action
| extend action_s = column_ifexists("action_s", ""), transactionId_g = column_ifexists("transactionId_g", "")
| where DestinationPort in (coinminerPorts)
| summarize CoinminerAttempts = count() by DestinationHost, DestinationPort
| where CoinminerAttempts > 10 // Adjust threshold as needed
),
// 2. Structured logs - port-based detection (IDPS signatures)
(AZFWIdpsSignature
| where DestinationPort in (coinminerPorts)
| summarize CoinminerAttempts = count() by DestinationIp, DestinationPort
| where CoinminerAttempts > 10 // Adjust threshold as needed
),
// 3. Legacy diagnostics logs - domain-based detection (DNS proxy)
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallDnsProxy"
| parse msg_s with "DNS Request: " ClientIP ":" ClientPort " - " QueryID " " Request_Type " " Request_Class " " Request_Name ". " Request_Protocol " " Request_Size " " EDNSO_DO " " EDNS0_Buffersize " " Response_Code " " Response_Flags " " Response_Size " " Response_Duration
| where Request_Name has_any(coinminerdomains)
| extend DNSName = Request_Name, IPCustomEntity = ClientIP
),
// 4. Legacy diagnostics logs - domain-based detection (Application rules)
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallApplicationRule"
| parse msg_s with Protocol ' request from ' SourceHost ':' SourcePort 'to' DestinationHost ':' DestinationPort '. Action:' Action
| where isnotempty(DestinationHost)
| where DestinationHost has_any(coinminerdomains)
| extend DNSName = DestinationHost, IPCustomEntity = SourceHost
),
// 5. Structured logs - domain-based detection (Application rules)
(AZFWApplicationRule
| where isnotempty(Fqdn)
| where Fqdn has_any(coinminerdomains)
| extend DNSName = Fqdn, IPCustomEntity = SourceIp
),
// 6. Structured logs - domain-based detection (DNS queries)
(AZFWDnsQuery
| where isnotempty(QueryName)
| where QueryName has_any(coinminerdomains)
| extend DNSName = QueryName, IPCustomEntity = SourceIp
),
// 7. Structured logs - domain-based detection (IDPS signatures)
(AZFWIdpsSignature
| where DestinationIp has_any(coinminerdomains)
| extend DNSName = DestinationIp, IPCustomEntity = SourceIp
),
// 8. Structured logs - signature description-based detection (IDPS)
(AZFWIdpsSignature
| where Description contains "coinminer"
| extend DNSName = DestinationIp, IPCustomEntity = SourceIp
)
Cl0p
Cl0p é um tipo de ransomware que opera aplicando chaves de criptografia distintas aos arquivos da vítima e exigindo um resgate para decriptação dos arquivos. Ele usa uma vulnerabilidade no software de transferência de dados MOVEit e envia emails de phishing para vários funcionários na esperança de entregar cl0p. Em seguida, ele usa ferramentas como truebot e dewmode para mover-se lateralmente dentro da rede e exfiltrar dados. O ransomware criptografa arquivos usando o algoritmo de criptografia AES-256.
Cl0p as vulnerabilidades incluem CVE-2023-35036, CVE-2023-34362 e CVE-2023-35708. Em junho de 2023, o FBI e a CISA publicaram um comunicado à imprensa sobre essa exploração. Os efeitos do cl0p ransomware são registrados em várias universidades do Centro-Oeste dos EUA e organizações governamentais. Companhias aéreas, redes de TV e lojas de varejo sediadas no Reino Unido são as mais recentes vítimas da gangue de cl0p ransomware.
Use a consulta de detecção a seguir para criar uma regra de análise no Microsoft Sentinel que detecta e responde automaticamente a esse malware usando logs do Firewall do Azure.
Consulta de detecção para Cl0p: Detecções de malware do Firewall para Sentinel/Detecção – Consulta de regra analítica para Cl0p.json
Malware de explosão solar
Esse malware usa um algoritmo de geração de domínio (DGA) para evitar a detecção e estabelecer um ataque de backdoor de comando e controle. O padrão usado na sintaxe e na constante alteração das informações de domínio dificultam a identificação dos domínios usados pelo malware.
Use a consulta de detecção a seguir para criar uma regra de análise no Microsoft Sentinel que detecta e responde automaticamente a esse malware usando logs do Firewall do Azure.
Consulta de detecção de Sunburst malware: detecções de malware do Firewall para Sentinel/Detecção. Consulta de regra analítica para Sunburst.json