Onderzoekers ontwikkelen oplossing voor ransomware
Onderzoekers van de Universiteit van Florida hebben een oplossing ontwikkeld om ransomware te stoppen. De oplossing fungeert als een soort van waarschuwingssysteem waarbij de ransomware een aantal bestanden mag versleutelen voordat het wordt gestopt.
CryptoDrop (pdf), zoals de oplossing wordt genoemd, is dan ook niet ontwikkeld om ransomware-infecties op computers te voorkomen. "Ons systeem is een soort van waarschuwingssysteem. Het voorkomt niet dat de ransomware begint .. het voorkomt dat de ransomware alle bestanden kan versleutelen", zegt onderzoeker Nolen Scaife. Gebruikers raken dan alleen een paar documenten of bestanden kwijt, in plaats van alles op de harde schijf. Daarnaast hoeven ze geen losgeld te betalen, gaat Scaife verder.
Tijdens een test met 492 verschillende ransomware-exemplaren van 14 families wist CryptoDrop 100% van van de aanvallen te detecteren en te stoppen, waarbij gemiddeld 10 van de 5100 bestanden op de computers werden versleuteld. "Ongeveer een tiende van één procent van de bestanden ging verloren", laat onderzoeker Patrick Traynor weten.
Monitoren
In plaats van de programma's te monitoren die aanpassingen aan bestanden maken, monitort CryptoDrop de bestanden van de gebruiker. Het systeem kan verdachte bestandsactiviteiten herkennen en vervolgens het verantwoordelijke proces stoppen. Hiervoor kijkt het systeem naar drie verschillende hoofdindicatoren, namelijk het overschrijven van bestanden, het verplaatsen van bestanden en het vervangen van bestanden. Ransomware blijkt vaak deze activiteiten allemaal uit te voeren, terwijl dat niet het geval is bij legitieme programma's.
Zodoende kan CryptoDrop zeer snel de ransomware detecteren en stoppen, zonder dat er veel bestanden verloren gaan. Dit zorgt er weer voor dat slachtoffers niet hoeven te betalen en de cybercriminelen achter de ransomware geen inkomsten ontvangen, zodat hun verdienmodel instort en het niet meer loont om ransomware te maken. Het onderzoeksteam heeft inmiddels een volledig werkend prototype voor Windows ontwikkeld en zoekt nu een partner om het op de markt te brengen.
Iets in de trend van 1 file per X seconden / minuten versleutelen.
Dan valt het niet meer op. Duurt wel langer het versleutelen naar is beter dan gedetecteerd worden. En hoogst waarschijnlijk kan er ook code in worden geklopt dat er eerst wordt gekeken of dat pakket wel of niet draait.
Tenzij dat pakket zelf verhinderd om gedetecteerd te worden.
Ondertussen wordt eerst het originele bestand aangehouden om geen argwaan te wekken. Zo maar even een gedachte.
En nee, ik ben geen cybercrimineel.
Iets in de trend van 1 file per X seconden / minuten versleutelen.
Dan valt het niet meer op. Duurt wel langer het versleutelen naar is beter dan gedetecteerd worden. En hoogst waarschijnlijk kan er ook code in worden geklopt dat er eerst wordt gekeken of dat pakket wel of niet draait.
Tenzij dat pakket zelf verhinderd om gedetecteerd te worden.
Ondertussen wordt eerst het originele bestand aangehouden om geen argwaan te wekken. Zo maar even een gedachte.
En nee, ik ben geen cybercrimineel.
Dat zal wel zo zijn voor een aantal geavanceerde ransomwares, maar het is een goed begin. Maar ransomware die langzaam werkt, is veel eerder te detecteren en stoppen. Het is natuurlijk altijd een strijd tussen malware en anti-malware en dat zal ook altijd wel zo blijven.
https://www.paloaltonetworks.com/products/secure-the-endpoint/traps
Dat lijkt me wel. Belachelijk dat een antivirus boer hier nog niet mee is gekomen.
beter 1 corrupte file dan 1 versleutelde disk
Iets in de trend van 1 file per X seconden / minuten versleutelen.
Dan valt het niet meer op. Duurt wel langer het versleutelen naar is beter dan gedetecteerd worden. En hoogst waarschijnlijk kan er ook code in worden geklopt dat er eerst wordt gekeken of dat pakket wel of niet draait.
Tenzij dat pakket zelf verhinderd om gedetecteerd te worden.
Ondertussen wordt eerst het originele bestand aangehouden om geen argwaan te wekken. Zo maar even een gedachte.
En nee, ik ben geen cybercrimineel.
Virus makers zullen blijven doorontwikkelen maar zolang anti-virus ontwikkelaars dat ook doen, blijft er hoop op goede beveiliging.
a) signaleren dat een losse client onevenredig veel verkeer (encrypten van bestanden) en dat melden ==> detectie van het probleem
b) versioning en snapshoptechnologie te gebruiken waarmee je gewoon de versie van 2 of 3 of x minuten ervoor weer terug kan halen ==> herstel van de gevolgen
Dus niet helemaal nieuw.
Q
Blijkbaar kan hij bij één file nog niets verdacht concluderen en begint het pas bij meerdere files argwaan te krijgen. Kan hij dan niet bij de eerste file een tijdelijke hard-link naar die file creëren en die links pas na een bepaalde tijd weer wissen. Op die manier moet je zelfs die eerste 10 files kunnen redden. (Tenzij men dan de file zelf gaat modificeren zoals anoniem 11:22 opteert)
Zou je als bedrijf bijvoorbeeld dan enkel je systemen beveiligen indien zo'n tool gratis is ? En is de beveiliging van je server werkelijk geen cent waard ?
Hehe, dat klopt maar in het geval van in-place encryptie bedoelde ik dat de ransomware een file heeft welke niet meer te ontcijferen is door de aanvaller, het zal rustig alle files versleutelen. De gebruikelijke ransomware werkt als volgt (uit mijn hoofd, is al een tijdje geleden dat ik in de analyses was gedoken van de diverse API calls):
- zoek naar bestanden met bepaalde extensies
- open het origineel
- maak een nieuw kopie (vaak met random extensie)
- schrijf de versleutelde data in de kopie
- wanneer compleet: verplaats kopie naar origineel = overschrijven
of
- verwijder origineel (kan meestal teruggehaald worden)
In-place gaat als volgt:
- open het origineel in geheugen
- lees x bytes
- versleutel en overschrijf de x gelezen bytes
- herhaal tot alle bytes encrypted zijn (zelfs een klein deel versleutelen kan al genoeg zijn = tijdswinst)
- bewaar/sluit het bestand
- extensie kan ongewijzigd blijven (echter lastig voor "eind-gebruiker", geen duidelijke indicatie van ransomware of file-corruptie)
Wat men ook wel eens probeert te detecteren is het zoek-process. Dat zou men kunnen omzeilen door bij elke hit gelijk encryptie te starten in plaats van eerst alle extensies te zoeken en eventueel maar x bestanden per x tijd op te vragen.
Als laatste kan men overgaan op full-disk encryptie :-) Uiteraard is dat minder effectief voor shares/NAS tenzij men de server weet te infecteren .....
Maar alle bedrijven hebben zich vast goed voorbereid met backups, disaster recovery plannen, etc. Toch???
Of wel zichtbaar, maar zich niet zomaar laat afsluiten?
En wat als de MBR al overschreven is?
Zou je als bedrijf bijvoorbeeld dan enkel je systemen beveiligen indien zo'n tool gratis is ? En is de beveiliging van je server werkelijk geen cent waard ?
Tenslotte doen we allemaal niks liever dan protectiegeld betalen aan beveiligingsbedrijven.
Dat is immers heel wat beter dan losgeld betalen aan de criminelen die virussen en trojans uitbrengen.
(de grote vraag is natuurlijk of we het nu niet over dezelfde mensen hebben of dat er ergens een relatie is)
Het blijft een kat en muis spel gebaseerd op verschillende factoren maar ik ben er niet zo bang meer voor :)
Ik denk dat het niet zo een zeer bijzondere aanvulling is van de onderzoekers om ransomware tegen te gaan.
a) signaleren dat een losse client onevenredig veel verkeer (encrypten van bestanden) en dat melden ==> detectie van het probleem
b) versioning en snapshoptechnologie te gebruiken waarmee je gewoon de versie van 2 of 3 of x minuten ervoor weer terug kan halen ==> herstel van de gevolgen
Dus niet helemaal nieuw.
Q
Zo dat is er uit. Verder een mooie stap om deze vorm van criminaliteit tegen te gaan.
Alle grote anti-malware oplossingen (inclusief Windows Defender) hebben al dergelijke bescherming op basis van 'heuristische analyse'. In Defender heet het 'Behavioral Monitoring' en is het onderdeel van 'Realtime Protection'.
Zelf heb ik notifications die bij bepaalde tresholds ook e-mailtjes uitsturen wanneer mn normale hoeveelheden I/O overschreden worden, maar dan heb ik zelf ook een situatie waar normaliter niet zo veel I/O is als wanneer iets zo-snel-mogelijk bestanden probeert te encrypten.
Zelf gebruik ik voor mijn hobbylab SpiceWorks om een oogje in het zeil te houden, maar er zijn legio veelzijdigere (en veelal prijzigere) alternatieven, voor mij is het vooral zaak om inventory te houden van de devices die zich aanmelden op zowel ons normale wifi als gastnetwerk, naast een overzicht van resourcegebruik van de drie servers (een als fallback) in huis.
http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-the-randamant-ransomware-kit/
De man achter die site is niet zo onbaatzuchtig als hij wel voor wil doen laten komen op diezelfde site, directeur R&D van Synack zijnde: https://objective-see.com/about.html
Bovendien lijkt het mij voor een ieder die commentaar geeft wel zo verstandig de pdf te downloaden en te lezen. Ligt bepaald genuanceerder dat in de korte tekst van dit topic staat.
http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-the-randamant-ransomware-kit/
nee programma uit artikel moet voorkomen dat alles encrypt wordt en het programma uit je link is om de bestanden te decrypten dus als het al te laat is.
ook is het programma uit je link voor 1 bepaald type ransomware
http://www.eset.com/nl/over/press/artikelen/malware/article/anti-ransomwaresetup/
Licenties zijn bij mij te bestellen ;-)
Een enkele grote antimalware producent heeft dit al:
http://esupport.trendmicro.com/solution/en-US/1114245.aspx
""Protect documents against unauthorized encryption or modification""
Zit trouwens ook in hun home user product:
http://www.trendmicro.nl/thuis/beveiligingssoftware/
Kwestie van tijd voordat ''ze'' dat allemaal hebben....
Let wel: de schade beperk je met dit soort technologie maar de initiële de besmetting ansich heb je wel te pakken. Ook als je zaken zoals TRAPS gebruikt...
En ja, ook wij zijn ook een B-2-B leverancier en een TM specialist op dit soort zaken....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
