Que sont les fichiers VMware Carbon Black Cloud Endpoint Canary ?

Produits concernés :

• VMware Carbon Black Cloud Endpoint

Plates-formes concernées :

• Windows

Sommaire

• Que sont les fichiers Canary ?
• Comment les fichiers Canary sont-ils utilisés ?
• Où se trouvent les fichiers Canary ?
• Pourquoi les fichiers Canary ne sont-ils pas masqués ?
• Comment puis-je déterminer si les fichiers Canary ont été compromis ?

Que sont les fichiers Canary ?

Les fichiers Canary sont des ensembles de quatre fichiers avec les extensions .pptx, .doc, .jpg et .xls qui sont placés à différents emplacements sur le lecteur de l’ordinateur après l’installation de VMware Carbon Black Cloud Endpoint. Ils représentent une ligne de défense supplémentaire contre les attaques par ransomware.

Les fichiers Canary sont générés une fois que l’option On Access File Scan Mode est activée, en définissant le mode sur Normal ou Aggressive, ou lorsque l’option Run background scan est activée et que le type d’exécution est défini sur Standard ou Expedited.

Retour au début

Comment les fichiers Canary sont-ils utilisés ?

VMware Carbon Black Cloud Endpoint surveille étroitement les fichiers Canary. Étant donné que leurs valeurs de hachage sont connues, il est facile de détecter leurs modifications comme des signes d’avertissement précoces d’une éventuelle infection par ransomware.

Retour au début

Où se trouvent les fichiers Canary ?

Les fichiers Canary sont stockés à différents emplacements dans le système d’exploitation.

Chaque emplacement contient huit fichiers, avec chacun des éléments suivants :

• Nommé de manière aléatoire .PNG file
• Nommé de manière aléatoire .XLS file
• Nommé de manière aléatoire .DOC file
• Nommé de manière aléatoire .PPTX file

La somme des tailles de fichier dans chaque emplacement atteint 269 Ko pour chaque ensemble de fichiers.

Vous trouverez ci-dessous un exemple de fichiers Canary créés par VMware Carbon Black Cloud Endpoint :

Retour au début

Pourquoi les fichiers Canary ne sont-ils pas masqués ?

Le masquage de ces fichiers réduit leur efficacité, car certaines attaques de ransomware ignorent intentionnellement les fichiers cachés. La visibilité de ces fichiers améliore l’efficacité de la détection des ransomwares.

Retour au début

Comment puis-je déterminer si les fichiers Canary ont été compromis ?

1. Dans un navigateur Web, accédez à [REGION].conferdeploy.net.
   Remarque : [REGION] = Zone géographique du client :

   • Amérique = https://defense-prod05.conferdeploy.net/
   • Europe = https://defense-eu.conferdeploy.net/
   • Asie Pacifique = https://defense-prodnrt.conferdeploy.net/
2. Connectez-vous à VMware Carbon Black Cloud.
   
3. Dans le volet de menu de gauche, cliquez sur Examiner et saisissez event_description:attempted to modify a User Document comme terme de recherche.
   
4. Sélectionnez la période, puis cliquez sur le bouton de recherche.
   
5. Cliquez sur Process Analysis pour obtenir le résultat souhaité.
   
6. Filtrer les résultats à l’aide de l’icône filemod mot-clé.
   
7. Faites défiler les événements pour trouver les modifications apportées aux fichiers Canary.
   

Retour au début

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.