Detecteer Ransomware activiteiten met Cloud App Security

Loading Likes...

Veel organisaties vrezen er voor; een Ransomware virus aanval waarbij alle documenten gecodeerd en onleesbaar gemaakt worden. Het bekende virus Wannacry had in 2016 al meer dan 56000 attacks uitgevoerd. Criminelen worden steeds beter in het verspreiden van dit soort virussen via e-mail of valse websites. Organisaties kunnen zich er gelukkig ook steeds beter tegen beschermen.


Verwachtte leestijd: 4 minuten

Scenario

Anita van rolluiken bedrijf Van Oers krijgt een e-mail binnen met de mededeling dat er een pakket van PostNL klaar ligt. Ze wordt geadviseerd via een link in de e-mail een website te openen waar ze haar pakketje kan afhalen. Anita verwacht geen pakketje, maar het gebeurd wel eens dat haar collega onder haar naam pakketjes besteld. Ze opent de link en krijgt een PDF bestand aangeboden. Ze opent het PDF document, omdat ze graag wilt weten waar het pakketje klaar ligt. Het PDF document opent, maar ondertussen wordt er ook een Ransomware virus uitgevoerd. Binnen no-time krijgt ze overal foutmeldingen en hoort ze collega’s klagen dat bestanden niet te openen zijn. Blijkbaar was de e-mail die ze opende niet echt van PostNL, maar was het een virus aanval. De IT beheerder zal nu een back-up terug moeten gaan zetten om alle bestanden weer beschikbaar te maken. Dit neem vaak veel tijd in beslag, terwijl medewerkers niet door kunnen werken.

Hoe werkt een Ransomware virus?

Een ransomware virus komt vaak samen met een gedownload bestand. Dit kan binnen komen via e-mail, maar ook via een website. Eenmaal gedownload gaat het virus alle bestanden waar de gebruiker toegang tot heeft coderen. Het gecodeerde bestand is op dat moment niet meer te openen. Met Office365 zijn er veel gebruikers die hun SharePoint of OneDrive site synchroniseren met hun lokale PC. Bij een Ransomware uitbraak betekent het dus dat ook deze bestanden geïnfecteerd zullen raken. Deze bestanden worden uiteindelijk door de synchronisatie ook online geupload en is ook de SharePoint of OneDrive site geïnfecteerd.  Hackers bieden vaak de mogelijkheid het virus uit te schakelen door een groot bedrag te betalen. Dit biedt nog geen garantie dat de hacker ook echt alles uitschakelt!

(https://nl.wikipedia.org/wiki/Ransomware)

 Office365 Advanced Threat Protection

Microsoft heeft al lange tijd de dienst Office365 Advanced Threat Protection (ATP) wat scant op inkomend mail verkeer. Daarbij worden bijlages en website verwijzingen gecontroleerd. Onlangs heeft Office365 ATP een extra feature gekregen waarbij het ook mogelijk is om SharePoint en OneDrive te beveiligen.

Helaas blijven er andere manieren om virussen binnen te krijgen.

Met Cloud App Security van Microsoft kunnen we gedrag van dit virus snel detecteren en blokkeren om erger te voorkomen.

Cloud APp SEcurity

Cloud App Security is in staat om Ransomware activiteiten te detecteren. Dit kan bijvoorbeeld zijn dat er een hoge upload activiteit gedetecteerd word of dat er juist veel bestanden verwijderd worden. Deze activiteiten worden bijgehouden en op het moment dat er verdachte activiteiten gedetecteerd worden kan Cloud App Security automatisch een actie uitvoeren. Cloud App Security kan de volgende cloud apps controleren op activiteiten: Office365, Google Suite, Box en Dropbox.

Technische implementatie

Vereisten:

  • Office365 Business of Enterprise licentie
  • EM+S E5 licentie of Cloud App Security licentie
  1. We starten met het inloggen op de Cloud App Security portal;(https://[tenantnaam].portal.cloudappsecurity.com)
  2. Open Control > Policies;
  3. Omdat dit geen standaard policy betreft gaan we een nieuwe policy aanmaken;
  4. Klik op de knop Create Policy > Activity Policy:
    1. Microsoft heeft een template ontwikkeld. Kies de template Potential Ransomware Activity;
    2. Verander indien gewenst de naam en omschrijving;
    3. We krijgen een aantal instellingen te zien bij Create filters for the policy:
      1. Single Activitiy / Repeated Activity: Hierbij krijg je de keuze om bij iedere verdachte activiteit direct in actie te komen of pas bij herhaaldelijke activiteiten. Mijn advies is om te kiezen voor herhaaldelijke, omdat je niet te snel wilt ingrijpen;
      2. Kies bij hoeveel herhaaldelijke activiteiten je de actie wilt laten uitvoeren (advies is 30);
      3. Kies in wat voor tijdstermijn dit moet plaatsvinden (advies is 5 minuten);
      4. In a Single app: Dit wilt zeggen dat je alleen wilt alarmeren als de activiteit plaatsvind in één app, bijvoorbeeld alleen OneDrive (Advies uit laten staan);
      5. Count only unique target files or folders per user: Hierbij geven we aan dat het systeem alleen de unieke bestanden moet tellen als activiteit (Advies aan zetten);
      6. De volgende filters zijn default vanuit Microsoft geadviseerd. Ik zou deze zo laten staan, laten we ze even doornemen:
        1. Activiteit gelijk is aan: upload, sync, rename (dus als er meer dan 30x binnen 5 minuten één van deze activiteiten plaatsvind);
        2. File and folders eindigen met één van deze extenties (dit zijn veel voorkomende extenties die hackers gebruiken om te coderen).
      7. We willen uiteraard een alert ontvangen wanneer er een activiteit gedetecteerd word. Stel dit in naar eigen voorkeuren;
      8. Onder Governance is het mogelijk direct een actie uit te voeren:
        1. All Apps betekent dat dit geldt voor alle cloud apps die gekoppeld zijn met Cloud App Security (bijvoorbeeld ook Dropbox of Box);
        2. Office365 geldt alleen voor Office365 Apps;
        3. Notify user: De medewerker (of CC) krijgt een notificatie;
        4. Suspend user: De gebruiker wordt in Azure Active Directory geblokkeerd, zodat de gebruiker nergens meer bij kan;
        5. Require user to sign in again: de gebruiker wordt verplicht opnieuw in te loggen.
      9. Sla de policy op. De policy is nu aangemaakt en klaar voor gebruik.

Policy testen

Je kan de policy als volgt testen:

  1. Verander de exentie van minimaal 30 bestanden naar .wncry
  2. upload deze bestanden naar een SharePoint of OneDrive locatie
  3. Cloud App Security moet nu een alert genereren zoals we eerder ingesteld hebben.

We hebben de policy nu aangemaakt en getest. Nu duimen dat er nooit een alert zal plaatsvinden 🙂

Meer info: https://docs.microsoft.com/en-us/cloud-app-security/use-case-ransomware

Leave a Reply

Your email address will not be published. Required fields are marked *