Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Narzędzie do walki z ransomware: OpenSource + sprytna technika honeypotu

14 lipca 2016, 22:17 | W biegu | komentarze 4

Narzędzie AntiRansom ma prosty sposób na walkę z ransomware – tworzy folder przynętę (z losowymi plikami przynętami – xls / pdf) i monitoruje procesy, które się do nich próbują odwołać. W przypadku wykrycia podejrzanej aktywności charakterystycznej dla ransomware – zabija go.

folder przynęta

O obecnych czasach dość małej finezji ransomware – powinno być lepiej niż zadowalające.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Fajna sprawa, jednak efektywność takiego rozwiąznia, by wykrycie było jak najszybsze, to utworzenie takich monitorowanych honeypotów w taki sposób, aby przy listowaniu/przeszukiwaniu dysków i folderów trafiały jako pierwsze (pierwsze wpisy w FAT, pierwsze indeksy NTFS i tak dalej)…

    Odpowiedz
  2. Mariusz

    Niestety nie będzie zadowolającym z kilku powodów:

    1. Proces malware’u zanim dostanie się do plików przynęty może zdążyć zaszyfrować wiele po kolei innych plików, równie nam ważnych (np. najpierw zaszyfruje %USERPROFILE% a dopiero później inne katalogi w %SystemDrive%

    2. Proces malware’u może nie dać się tak łatwo zabić:
    a) może być wstrzykniętym wątkiem (lub przejętym wątkiem na zasadzie Process Hollowingu, lub set-context) do procesu systemowego
    b) może mieć swojego watchdog-procesa, nawzajem się podnosząc
    c) może na różne inne kreatywne sposoby chronić się przed zamknięciem (choćby hookując NtOpenProcess/NtTerminateProcess w user-mode’zie)

    3. W pewnych subtelnych przypadkach callback z notyfikacjami o dostępie/modyfikacji plikow może się w ogóle nie wywołać, przy takowym dostępie procesu do zasobu.

    4. Malware może równie dobrze zabić znane mu inne procesy anti-malware.

    Także metoda ta nie jest ani trochę zadowalająca do globalnej implementacji. Tak samo jak metoda „delty w ilości uchwytów do pliku” w wąskim oknie czasowym, ale to temat na odrębną dyskusję.

    Cheers,
    MB.

    Odpowiedz
    • Dzięki za rozbudowany koment. Ogólnie dla większości malware – jak najbardziej. Ale nie wiedzieć dlaczego Ransomware w obecnych czasach są w większości b. głupie (dużo można nawet samodzielnie zdeszyfrować).

      Odpowiedz
  3. bre

    yhy czyli po zaszyfrowaniu całego dysku intruz trafi na monitorowany folder i zostanie nieunieszkodliwiony. Genialne ;)

    Odpowiedz

Odpowiedz