Waarom doet ransomware houden zich te onttrekken aan uw verdediging?

Over de auteur

Nir Gaist, Oprichter en CTO van Nyotron, heeft samengewerkt met enkele van de grootste Israëlische organisaties, geschreven cybersecurity curriculum voor het israëlische Ministerie van Onderwijs, en in het bezit van octrooien voor gedragingen in kaart brengen.

Ransomware is al lang een bedreiging voor organisaties en consumenten. De wereldwijde schade van kostenramingen tot ongeveer 10 miljard dollar per jaar. Na al die jaren, waarom ransomware blijven zo goed in omdat het zo slecht? Het antwoord is een combinatie van de security-industrie de geschiedenis van grotendeels ineffectief reacties te ransomware en hoe ransomware ontwikkelaars gebruikt psychologie om gebruikers te verleiden tot denken dat ze reageert op aanvragen van een collega of zelfs Bitcoins te doneren aan een van de kinderen het goede doel.

Ransomware is nauwelijks nieuw en onbekend, omdat het is al sinds 1989. Toch blijft het een van de meest voorkomende en ook meest succesvolle soorten aanvallen. Volgens rapporten, waren er meer dan 180 miljoen ransomware aanvallen in de eerste zes maanden van 2018 alleen. De vaststelling van cryptocurrencies en Tor hebben gediend voor het versterken van de prevalentie van ransomware dramatisch.

“Zelfs met miljarden en miljarden dollars geïnvesteerd in cybersecurity en decennia van bedrijven implementeren van firewalls en antivirus oplossingen, ransomware nog lukt. Begrijpen waarom het nodig te onderzoeken hoe de malware functies, en waarom onze bestaande benaderingen te vechten, blijven mislukken.”

Elke 14 seconden, een organisatie ergens in de wereld valt ten prooi aan een ransomware aanvallen. Maar de slechte acteurs zijn niet bekrompen in hun focus en meestal richten veel organisaties en gebruikers in één keer. Denk bijvoorbeeld terug aan de wereldwijde WannaCry aanval en dat resulteerde in een verlies van bijna $4 miljard.

Ransomware

Image credit: Pixabay

Hoe werkt ransomware

De details van hoe een aanval krijgt in een systeem of een organisatie, ofwel, de “aanval” irrelevant zijn. Het kan phishing, blootgesteld RDP of een andere laan die ransomware ontwikkelaars leverage te krijgen.

In plaats daarvan, laten we een kijkje nemen op wat er gebeurt als ransomware eigenlijk werkt samen met uw bestands-systeem en gegevens worden gecodeerd. Eerste, ransomware proces(sen) zoekt de bestanden die het wil coderen. Deze zijn vaak gebaseerd op extensies en zich richten op uw meest waardevolle activa zoals Microsoft Office-documenten of foto ‘ s, terwijl de bestanden van het besturingssysteem intact om ervoor te zorgen dat het systeem nog opstart. Dan is de malware versleutelt dat de gegevens in het geheugen en vernietigt het oorspronkelijke bestand.

Een route ransomware is om gecodeerde gegevens opslaan in een nieuw bestand en verwijder het origineel.

Een andere optie, en waarschijnlijk de meest sluwe, is om te schrijven dat gecodeerde gegevens in het oorspronkelijke bestand zelf. In dit geval, het originele bestand blijft intact, het bemoeilijken van het herstel door, waardoor het moeilijk is om onderscheid te maken tussen de versleutelde bestanden en degenen die niet zijn gecodeerd.

Een derde methode is voor ransomware om een nieuw bestand te maken, zoals in de eerste optie, maar dan in plaats van de bewerking gebruik te hernoemen naar het oorspronkelijke bestand vervangen.

Na het voltooien van de encryptie-proces, de beruchte ransomware notitie wordt weergegeven. We weten dat een deel van het verhaal heel goed uit de berichtgeving.

Image credit: Pixabay

Image credit: Pixabay

(Foto: © Image Credit: Geralt / Pixabay)

Security-industrie valt kort

Nu dat u een goed begrip van hoe ransomware omgaat met bestanden te versleutelen en vernietigen van de originelen, laten we eens kijken naar de vijf meest voorkomende oplossingen voor de security-industrie heeft ontwikkeld in de strijd tegen deze aanvallen. Helaas, geen van hen hebben bewezen steeds effectief zijn.

Als eerste: static file analyse – dezelfde techniek die wordt gebruikt voor de detectie van malware in antivirus, anti-malware of EVP producten. Deze producten kijk voor bekende kwaadaardige codes gedrag of reeksen of strings, zoals lijsten van degenen die meestal gericht bestand extensies evenals de gebruikte woorden die vaak voorkomen in het rantsoen opmerkingen (bv., Bitcoin, encryptie, etc.). Het is een handtekening – en machine learning-based methode voor het detecteren van kwaadaardige code.

Er zijn ook voordelen aan deze aanpak, inclusief het genereren van lage fout-positieve (FP) tarieven. Het is ongewoon voor een handtekening-gebaseerde antivirus om een vlag van een goedaardige bestand als kwaadaardig, en dat is essentieel, omdat de beveiliging professionals zijn overweldigd door valse alarmen en het lijden van alert vermoeidheid. Een ander zeer belangrijk punt is dat deze techniek niet wachten voor ransomware uit te voeren, maar stopt de aanval vóór de uitvoering dus geen kwaad wordt gedaan en nul-bestanden zijn gecodeerd.

Image credit: Shutterstock

Image credit: Shutterstock

(Foto: © Image Credit: Andriano.cz / Shutterstock)

Echter, de statische analyse heeft bewezen te gemakkelijk voor aanvallers te omzeilen. Malware-schrijvers gebruiken packers, crypters en andere tools om te verdoezelen en het veranderen van hun handtekeningen. Het is bekend in de industrie, die de werkzaamheid van de meeste moderne antivirus-en next-gen antivirus oplossingen is ergens rond de 50-80 procent, wat betekent dat maximaal de helft van de aanvallen onopgemerkt blijven.

De Nyotron Research Team heeft onlangs een studie uitgevoerd van de effectiviteit van de toonaangevende antivirus tools en niet tegen het nieuwe, geavanceerde aanvallen, maar tegen de oude, bekende malware die al jaren (en in sommige gevallen tientallen jaren). De verschillende tests die wij uitgevoerd zijn door een eenvoudige wijziging van oude malware ooit-zo-iets te veranderen zijn handtekening. Het resultaat: een dramatische vermindering van de detectie van de werkzaamheid, in sommige gevallen vallen voor zo laag als 60 procent. Nogmaals, dit is voor oude, bekende malware.

Een tweede techniek is gebaseerd op de zwarte lijst van bestandsextensies ransomware meestal gebruik en geeft aan de bestanden gecodeerd. De voordelen zijn vergelijkbaar met de voorafgaande techniek – Lage fout-positieve uitslagen en het kan in staat zijn om te stoppen met ransomware encryptie onmiddellijk, zodat er geen schade en zijn er geen bestanden zijn gecodeerd.

Echter, het is ook gemakkelijk te omzeilen. Het enige wat ransomware moet komen met een nieuwe file extension of willekeurige file extension. Bijvoorbeeld, CryptXXX en Cryptowall varianten gebruikt willekeurige extensies in plaats van een specifieke. U kunt ook ransomware kan houden van de originele bestandsnamen samen met de oorspronkelijke extensies.

Een derde techniek is het gebruik van zogenaamde “honey pot bestanden” om de mensen te misleiden aanvallers door het lokken van bestanden en het monitoren hoe de aanvallers proberen om ze te veranderen. Zodra ze worden aangeraakt, dat wordt gezien als een aanval. Er bestaat echter wel een paar nadelen, waaronder:

  • Als andere hulpmiddelen als gebruikers kunnen raken die aas-bestanden, is er een kans voor de Fod
  • Ook zijn niet alle schade kan worden voorkomen, zoveel bestanden zal waarschijnlijk worden gecodeerd totdat ransomware raakt die decoy bestanden
  • En natuurlijk, ransomware kan gewoon een poging om te voorkomen dat het aanraken van die file door het overslaan van verborgen bestanden/mappen, bijvoorbeeld (dat zijn degenen die hebben de neiging om afleiding).

De vierde detectie techniek is het toezicht op de bestand systeem voor massa-bestand activiteiten, zoals naam, te schrijven of te verwijderen binnen een bepaalde periode van tijd. Als een bepaalde drempel wordt overschreden, wordt het gewraakte proces zal worden beëindigd. Het voordeel hier is dat het niet afhankelijk is van een aantal specifieke handtekening of file extension, maar op een abnormale activiteit die typisch geassocieerd worden met ransomware.

laptop with encrypted text

Image credit: Unsplash

(Foto: © Image Credit: Markus Spiske / Unsplash)

Echter, sommige bestanden worden versleuteld tot die bepaalde limiet is overschreden. Malware kan ook voorkomen dat dit detectie methode met een “lage en trage aanpak” zoals het toevoegen van vertraging tussen drukken of door de paaitijd meerdere encryptie processen.

De vijfde opmerkelijke methode is het bijhouden van de data van een bestand te wijzigen tarief. De veiligheid van het product voert een entropie berekening voor het meten van de willekeur van de gegevens in een bestand. En net als bij de vorige methode, na een bepaalde drempel van verandering wordt gedetecteerd, dat is wanneer de overtreder proces wordt als schadelijk beschouwd en beëindigd.

Deze methode voordelen van minder FPs dan de eerder genoemde dynamische technieken. Nadelen zijn het feit dat de bestanden worden versleuteld tot een niveau van vertrouwen is bereikt, zo niet alle schade is geblokkeerd. Bovendien, deze techniek kan worden omzeild door het versleutelen van slechts delen van bestanden, of door het te versleutelen in stukken. Bovendien, het gebruik van meerdere processen voor encryptie kan worden als een effectieve ontduiking techniek.

“De meeste moderne security producten proberen te profiteren van de combinatie van een aantal of zelfs de meeste van deze technieken teneinde hun werkzaamheid met verschillende graden van succes. Maar als we kijken naar enkele van de meer recente voorbeelden van ransomware in het wild, zien we waarom geen van deze benaderingen hebben bewezen effectief te zijn.”

CryptoMix, of de nieuwste variant DLL CryptoMix, is niet overdreven spectaculair zo ver als de technologie zelf, wel bypass één van de toonaangevende antivirus-producten die zijn geïnstalleerd op onze klant. Echter, wat stelt CryptoMix onderscheidt, is de aanpak aanvallers nam de kans vergroten dat hun slachtoffers zullen het betalen van losgeld.

Ze beweren te zijn van een liefdadigheidsinstelling, het helpen van de zieke kinderen, zoals het International Children ‘ Charity Organisatie. Ze hebben zelfs profielen van echte kinderen in nood, het bankwezen op de hoop dat de slachtoffers zullen waarschijnlijk meer te betalen als ze denken dat een percentage gaat naar het goede doel. Ik kan u verzekeren dat er geen geld gaat naar de kinderen. Duivelse!

Image credit: Pixabay

Image credit: Pixabay

(Foto: © Image Credit: TheDigitalArtist / Pixabay)

LockerGoga is de ransomware dat gestopt met de productie ten minste één van de Norsk Hydro faciliteiten resulterend in een verlies van een schatting van $40 miljoen. Volgens rapporten, Norsk Hydro had eigenlijk een next-gen antivirus-product hebt geïnstalleerd, maar LockerGoga was in staat om met succes te ontwijken. Het gebruikt de methode van paai meerdere processen voor het versleutelen van bestanden om naar bypass-security producten. Dat is, om ervoor te zorgen dat zelfs als een proces raakt aas bestanden of wordt beëindigd door een ransomware detectie techniek, anderen zullen doorgaan te versleutelen. Ten minste één voorbeeld van LockerGoga zelfs gebruikt een geldige digitale handtekening waardoor het meer betrouwbaar statische analyse technieken. Encryptie zelf was erg traag, maar misschien is dat precies wat mag het om te blijven onopgemerkt lang genoeg om te leiden tot grote schade aanrichten.

Chimera is niet een nieuwe ransomware, maar het blijft uniek in haar stelling dat, indien het slachtoffer niet te betalen, de aanvallers zullen vrijgeven van gevoelige gegevens, inclusief foto ‘s en video’ s op het Internet met uw contactgegevens. Of ze het daadwerkelijk doen of niet, afhankelijk van wie je bent en wat je bezit, kan deze zeker moedigen u aan om te betalen.

Natuurlijk, geen lijst van ransomware is niet compleet zonder WannaCry. Immers, het is waarschijnlijk de meest bekende ransomware zoals het beïnvloed ongeveer 150 landen, honderden duizenden systemen en dit resulteerde in een geschatte $4 miljard in totaal economisch verlies.

Wat maakt WannaCry zelfs meer frustrerend is dat het volledig te voorkomen. Het enige wat organisaties moest doen om veilig te blijven is up-to-date met hun besturingssysteem en de nieuwste patches. Microsoft heeft de patch tegen de onderliggende kwetsbaarheid bijna twee maanden voorafgaand aan de aanval.

Image credit: Pixabay

Image credit: Pixabay

(Foto: © Image credit: Pixabay)

De verdediging tegen ransomware

WannaCry leert een belangrijke les voor alle organisaties: blijf up-to-date met alle patches.

“Uw organisatie kan nog steeds worstelen met basic asset management. In andere woorden, je weet niet wat je hebt. En als je niet weet wat je hebt, hoe kan je je beschermen?”

Het implementeren van een solide back-up strategie. Je kan er al een in de plaats te bewaken uw servers, of on-premise of in de cloud. Echter, het is belangrijk voor het realiseren van uw eindpunten zijn ook risico, want dat is waar ten minste een deel van uw bedrijf het IP-mogen verblijven.

Tenslotte, de meeste security oplossingen en processen alleen chase “de slechte” en dat is een spel van kat-en-muis kunt u niet winnen. Er is vrijwel een oneindig aantal malware in het wild, en het duurt een succesvolle aanval verlamde uw IT-systemen.

Een aanvulling op uw bestaande beveiliging lagen met een aanpak die doet precies het tegenovergestelde – het waarborgen van wat goed is. Opmerking ik gebruik het woord “aanvulling.” Ik ben niet pleiten voor u om te stoppen met het gebruik van uw bestaande oplossingen. Hoewel een enkel detectie techniek kan niet worden zeer effectief zijn, de combinatie van een paar met een bepaalde mate van bescherming tegen commodity ransomware. Het combineren van deze tools met degenen die het bijhouden van het goede door het toepassen van een whitelisting-achtige aanpak. Dit zorgt niet alleen voor een echte ‘defense in depth’ – model, het dient ook als die laatste lijn van verdediging tegen malware en ransomware die in staat is om zich te onttrekken van uw eerstelijns afweer, zoals antivirus.

Nir Gaist, Oprichter en CTO van Nyotron