Descripción
Este artículo describe cómo usar un controlador de eventos personalizado y un informe en FortiAnalyzer para detectar actividades relacionadas con el ataque de ransomware DearCry.
DearCry utiliza vulnerabilidades recientes del servidor MS.Exchange para explotar sus objetivos. Para obtener más información sobre este ataque de ransomware, consulte la publicación del blog de Fortinet:
El nuevo ransomware DearCry apunta a las vulnerabilidades del servidor de Microsoft Exchange
¿Qué está incluido en Fortinet_SOC-DearCry-Ransomware-Detection.zip?
1. Fortinet_SOC-DearCry-Ransomware-Detection.json
Este controlador de eventos ayuda a detectar el ataque de ransomware DearCry basado en las detecciones de FortiGate AV y FortiClient AV.
Estos incluyen las siguientes firmas de virus:
- W32/QueridoLlor.OGE!tr
- W32/DearCry.OGE!tr.rescate
- W32/Filecoder.OGE!tr
- Posible amenaza.ARN.H
- W32/Encoder.OGE!tr.rescate
- W32/Codificador!tr
2) Informe DearCry – Fortinet.dat
Un informe para resumir los hallazgos sobre los ataques DearCry de los registros de FortiGate y FortiClient.
Consulte la sección Solución para obtener instrucciones sobre cómo cargarlos en una unidad FortiAnalyzer.
Alcance
El controlador de eventos personalizado proporcionado se puede usar en FortiAnalyzer 6.2 y FortiAnalyzer 6.4.
Solución
Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 6.4.4.
1) Descargue Fortinet_SOC-DearCry-Ransomware-Detection.zip archivo (contiene 2 archivos)
2. Descomprimir Fortinet_SOC-DearCry-Ransomware-Detection.zip
3) Usar Fortinet_SOC-DearCry-Ransomware-Detection.json para importar en Controladores de eventos
una. Elija un ADOM (si los ADOM están habilitados)
b. Elija el módulo FortiSOC
C. Seleccione la lista de controladores de eventos
d. Seleccione la opción Importar en «Más»
mi. Seleccione Fortinet_SOC-DearCry-Ransomware-Detection.json
Resultado: Fortinet_SOC-DearCry-Ransomware-Detection.json está habilitado y se activará si se reciben los registros apropiados después de importar el controlador de eventos
4) Uso Informe DearCry – Fortinet.dat para importar en Informes
una. Elija un Fabric ADOM (si los ADOM están habilitados)
b. Elija el módulo Informe
C. Seleccione la opción Importar en «Más»
d. Seleccione Informe DearCry – Fortinet.dat
Resultado: ‘Informe DearCry – Fortinet‘ se puede ejecutar en cualquier momento según lo determine un usuario administrador.