image

Onderzoek: meeste ransomware eenvoudig te stoppen

zaterdag 11 juli 2015, 06:57 door Redactie, 6 reacties

De meeste ransomware die rondgaat blijkt helemaal niet zo gevaarlijk te zijn als wordt gedacht en zelfs de gevaarlijkere exemplaren zijn veel eenvoudiger te stoppen dan altijd werd aangenomen. Dat stellen onderzoekers van Symantec, LastLine Labs, Instituut Eurecom en de Northeastern University in Boston.

De onderzoekers analyseerden 1359 ransomware-exemplaren van 15 verschillende families die van 2006 tot en met 2014 werden waargenomen. Het gaat onder andere om bekende namen als Cryptolocker, CryptoWall, Kovter en GPcode. Hoewel de voornaamste ransomware-exemplaren steeds geraffineerder worden, blijkt dat het aantal echt destructieve ransomware-families zeer klein is. Van de 1359 exemplaren bleken er 73 (5,37%) bestanden te versleutelen. De rest vergrendelt de desktop, verwijdert bestanden of gebruikt andere eenvoudige technieken om gebruikers tot het betalen van losgeld over te halen.

Werking

Door naar de werking van de meer geavanceerde ransomware-exemplaren te kijken, zoals Cryptolocker en CryptoWall, zagen de onderzoekers dat het stoppen van deze geavanceerde families niet zo complex is als voorheen werd gedacht. Door het monitoren van het bestandssysteem op abnormale activiteiten is een groot aantal ransomware-aanvallen te stoppen, ook van de ransomware-exemplaren die sterke encryptie toepassen. Zodra ransomware actief wordt vinden er namelijk grote veranderingen in de activiteiten van het bestandssysteem plaats ten opzichte van normaal gebruik. Door deze abnormale activiteiten op het bestandssysteem te herkennen en te detecteren kan worden vastgesteld of het systeem wordt aangevallen.

De beveiligingsoplossing die de onderzoekers voorstellen kijkt naar de I/O-verzoeken die worden gedaan om het bestandssysteem te benaderen en de Master File Table (MFT) in het bestandssysteem aan te passen. "Op deze manier is het mogelijk om een behoorlijk aantal zero-day ransomware-aanvallen te detecteren en te voorkomen", aldus de onderzoekers in hun rapport "Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks" (pdf).

Reacties (6)
11-07-2015, 09:29 door karma4
Laten we het eens zo stellen:
- voldoende hygiene, (handen wassen etc) ofwel: virus-detectie tools helpt om niet zo snel ziek te worden.
Er zijn fanatici die alleen maar hiermee bezig zijn ... Het kan niet alle ziektes voorkomen.

- gezond eten en leven ofwel: je systeem en software bij de tijd houden met beproefde versies maakt je weerbaar en sterk
Er zijn fanatici met heel speciale ideeen ... Het kan niet alles voorkomen.

- Het vaststellen dat je ziek bent is niet zo heel moeilijk. Het geeft allerlei signalen die je kunt meten en je kunt van veel gegevens die je kan meten een vergelijk maken met het normale warden.
Sommige kwalen zijn bekend en eenvoudig aan te pakken, bij andere heb je meer pech als bijzonder geval.

Er zijn fanatici die dan roepen dat alles eigen schuld dikke bult is (hygiene/ eten -levenswijze). Dat is onzin, er zijn genoeg andere redenen en oorzaken. Het begint met dat je niet weet wat je niet weet.

De redenatie van de "Cutting the Gordian Knot" is het gezond verstand gebruikenm, toegepast in het IT security domein.
Dat gezond verstand gebruiken ofwel logisch kunnen redeneren. Dat zou wel eens het grootste gebrek kunnen zijn waar we mee te maken hebben. Dat is een lastige, ik weet niet of daar een fix voor te vinden is.
11-07-2015, 09:44 door spatieman
ja maar.
het emailtje wat ik kreeg is van mijn bank !!!!!
11-07-2015, 09:57 door Briolet
Spatieman: Dit artikel gaan niet over het voorkomen van besmetting, maar het indammen van de gevolgen.
11-07-2015, 10:33 door Anoniem
Door karma4: Laten we het eens zo stellen:
- voldoende hygiene, (handen wassen etc) ofwel: virus-detectie tools helpt om niet zo snel ziek te worden.
Er zijn fanatici die alleen maar hiermee bezig zijn ... Het kan niet alle ziektes voorkomen.

Dat is geen goede analogie (of misschien onbedoeld juist wel?): hygiene zorgt juist dat je wel snel ziek wordt.
Doordat je lichaam niet gewend is om om te gaan met vuil en bacterien als je heel hygenisch leeft, is het ook niet
meer in staat om de eerste de beste aanval af te slaan. Altijd handen wassen is dus helemaal niet zo goed als men
50 jaar geleden dacht en er in heeft geramd.

Wellicht geldt dat ook wel in termen van een virus scanner. Je kunt veel beter je systeem wapenen tegen ongewenste
code, dan proberen alle virussen weg te houden door detectie.
11-07-2015, 13:39 door karma4
Door Anoniem: [Dat is geen goede analogie (of misschien onbedoeld juist wel?): hygiene zorgt juist dat je wel snel ziek wordt.
... Wellicht geldt dat ook wel in termen van een virus scanner. Je kunt veel beter je systeem wapenen tegen ongewenste code, dan proberen alle virussen weg te houden door detectie.
Volledig mee eens maar je vergeet SIEM in het artikel met de uitbreiding naar het weten wat normaal is en wat niet.

Dank je voor de aanvulling. Het was echt zo bedoeld en je pakt het prima op.

Dat effect van "niet meer in staat zijn de eerste de beste aanval af te slaan." zit er bij. Hoe vaak verbergt men zich niet achter het argument dat ze een geode virusscanner actief hadden maar dat die hack allemaal zo geavanceerd was. Die eerste verdedigingslijn (hygiene) wordt als de enige bestaande gezien.

De tweede is om het systeem beter te wapenen ("hardenen" gezonder lever). Daar zijn hele waslijsten met aandachtspunten voor (b.v. ISO/IEC 27002) waar je met de businessimpact ogen naar moet kijken. Release Management en ALM Applicatie Live Cycle Management worden vaak vooruitgeschoven (uitstel/afstel) met het argument kosten en complexiteit. Dit verzand vaak in de "holy OS wars" wat niets bijdraagt enkel een reden om nog meer "niets te doen". Denk aan die XP migraties en W2003-server +10 jaar oud verhalen.

De derde is SIEM https://en.wikipedia.org/wiki/Security_information_and_event_management Dat boven op de eerste twee komt als verdediging. Als er wat mis is, wil je dat zo snel mogelijk weten en dan moet je er ook actie op ondernemen. Het herkennen van een DDOS bijvoorbeeld dan wel het lekken van data via POS systemen of anders moet goed te doen zijn. Met het onderzoek in dit artikel komt er wat bij. Dat is de hoeveelheid van specfieke veranderingen in het filesysteem.

Als we naar bekende gevallen (On Target, ING, Columbia/WB pictures,hackers team) dan zien dat daar behoorlijk wat scheef zit. Er is de zelfde tendens. Het niet (goed) invullen van dat deel in de eigen organisatie wordt weggewuifd als: geavanceerde hackers waartegen niets te doen is dan wel "we hebben het geoutsourced". De overeenkomst met medische missers is verrassend. http://www.consumentenbond.nl/patientenrechten/extra-informatie/medische-fouten/. Het is het onderwerp waarover men liever niet praat en niet mee bezig is / bezig wil zijn.
13-07-2015, 10:07 door Mysterio
Door Anoniem:
Door karma4: Laten we het eens zo stellen:
- voldoende hygiene, (handen wassen etc) ofwel: virus-detectie tools helpt om niet zo snel ziek te worden.
Er zijn fanatici die alleen maar hiermee bezig zijn ... Het kan niet alle ziektes voorkomen.

Dat is geen goede analogie (of misschien onbedoeld juist wel?): hygiene zorgt juist dat je wel snel ziek wordt.
Doordat je lichaam niet gewend is om om te gaan met vuil en bacterien als je heel hygenisch leeft, is het ook niet
meer in staat om de eerste de beste aanval af te slaan. Altijd handen wassen is dus helemaal niet zo goed als men
50 jaar geleden dacht en er in heeft geramd.

Wellicht geldt dat ook wel in termen van een virus scanner. Je kunt veel beter je systeem wapenen tegen ongewenste
code, dan proberen alle virussen weg te houden door detectie.
Van "voldoende hygiëne" naar "altijd handen wassen"? Hygiëne is goed en als je daarin doorschiet gaat het mis. Karma4 heeft het over voldoende hygiëne en schiet daarmee in de roos. Jij hebt het over dat hygiëne er voor zorgt dat je ziek wordt en daarmee mis je precies de essentie van je eigen verhaal. Immers wie na het toilet bezoek zijn handjes niet wast is toch echt ongezond bezig.

OT: De meeste malware (niet alleen ransomware) is technisch gezien redelijk eenvoudig te voorkomen. Waar menig malwaremaker terecht op gokt is de kwetsbaarheid achter het toetsenbord.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.