Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Narzędzie do walki z ransomware: OpenSource + sprytna technika honeypotu
Narzędzie AntiRansom ma prosty sposób na walkę z ransomware – tworzy folder przynętę (z losowymi plikami przynętami – xls / pdf) i monitoruje procesy, które się do nich próbują odwołać. W przypadku wykrycia podejrzanej aktywności charakterystycznej dla ransomware – zabija go.
O obecnych czasach dość małej finezji ransomware – powinno być lepiej niż zadowalające.
–ms
Fajna sprawa, jednak efektywność takiego rozwiąznia, by wykrycie było jak najszybsze, to utworzenie takich monitorowanych honeypotów w taki sposób, aby przy listowaniu/przeszukiwaniu dysków i folderów trafiały jako pierwsze (pierwsze wpisy w FAT, pierwsze indeksy NTFS i tak dalej)…
Niestety nie będzie zadowolającym z kilku powodów:
1. Proces malware’u zanim dostanie się do plików przynęty może zdążyć zaszyfrować wiele po kolei innych plików, równie nam ważnych (np. najpierw zaszyfruje %USERPROFILE% a dopiero później inne katalogi w %SystemDrive%
2. Proces malware’u może nie dać się tak łatwo zabić:
a) może być wstrzykniętym wątkiem (lub przejętym wątkiem na zasadzie Process Hollowingu, lub set-context) do procesu systemowego
b) może mieć swojego watchdog-procesa, nawzajem się podnosząc
c) może na różne inne kreatywne sposoby chronić się przed zamknięciem (choćby hookując NtOpenProcess/NtTerminateProcess w user-mode’zie)
3. W pewnych subtelnych przypadkach callback z notyfikacjami o dostępie/modyfikacji plikow może się w ogóle nie wywołać, przy takowym dostępie procesu do zasobu.
4. Malware może równie dobrze zabić znane mu inne procesy anti-malware.
Także metoda ta nie jest ani trochę zadowalająca do globalnej implementacji. Tak samo jak metoda „delty w ilości uchwytów do pliku” w wąskim oknie czasowym, ale to temat na odrębną dyskusję.
Cheers,
MB.
Dzięki za rozbudowany koment. Ogólnie dla większości malware – jak najbardziej. Ale nie wiedzieć dlaczego Ransomware w obecnych czasach są w większości b. głupie (dużo można nawet samodzielnie zdeszyfrować).
yhy czyli po zaszyfrowaniu całego dysku intruz trafi na monitorowany folder i zostanie nieunieszkodliwiony. Genialne ;)