¿Por qué no hay una protección heurística fácil contra el ransomware?

6

Después de la reciente propagación del ransomware WannaCry, que demostró una vez más que este tipo de ataque es capaz de causar serios daños e interrupciones peligrosas a los servicios críticos, me pregunté por qué no existe una protección fácil contra este tipo de malware. Un enfoque heurístico.

Mi razonamiento es el siguiente: si bien los vectores de ataque del ransomware pueden ser de varios tipos, desde la acción del usuario descuidado hasta los ataques del día cero, la acción es aproximadamente la misma: muchas y muchas. los archivos se abren, se encriptan y luego el archivo encriptado se almacena en lugar del original.

No tengo un conocimiento más profundo sobre los principios de funcionamiento de la protección antivirus, pero me hacen creer que este tipo de acción debería ser detectable relativamente fácil con un enfoque heurístico. Uno podría, por ejemplo, observar los procesos que realizan operaciones de lectura y escritura en masa, y los archivos de salida suelen tener una entropía mucho mayor que los archivos de entrada. Además, se podrían observar los procesos actualmente en ejecución para enviar instrucciones a la CPU, que parecen contener pasos de cifrado. Aunque este último es probablemente más difícil de lograr, creo que debería ser factible dado el número bastante pequeño de algoritmos de cifrado ampliamente distribuidos.

Sin duda, esto no brindaría una protección perfecta contra el ransomware. Cuando el ransomware haya comenzado a cifrarse, tomará un tiempo hasta que el antivirus se active y es posible que ya haya algunos archivos perdidos. Pero, por supuesto, será mejor perder algunos archivos en lugar de perderlos todos. También habrá bastantes falsos positivos, que pueden ser molestos para el usuario. Por otra parte, algunas suites antivirus solicitan cualquier teclado conectado, si se trata realmente de un teclado y no de un dispositivo USB manipulado, lo que consideraría igualmente molesto.

Al buscar en línea, el único enfoque similar que pude encontrar es el software CryptoMonitor , que aparentemente ha sido adquirido por Malware Bytes . Pero a juzgar por la poca información que pude recopilar al respecto, sin embargo, parece no haber afectado al mercado masivo. Además, no tengo conocimiento de ningún enfoque similar de los proveedores de software antivirus conocidos, o al menos no lo encontré.

Esto me lleva a la conclusión de que mi idea de protección contra el ransomware simplemente no funciona. Pero ¿por qué no funcionaría un enfoque heurístico en este caso?

    
pregunta ranguwud 14.05.2017 - 16:57
fuente

4 respuestas

3

Hay. Los programas como Cybereason Ransomfree afirman hacer exactamente eso. De sus preguntas frecuentes:

  

Cybereason RansomFree observa la forma en que las aplicaciones interactúan con los archivos y, cuando detecta un comportamiento de ransomware, lo detiene inmediatamente antes de que se cifren los archivos. Cybereason RansomFree usa técnicas de detección de comportamiento puro y no se basa en firmas de malware.

  Cybereason RansomFree implementa archivos de cebo colocados estratégicamente donde el ransomware a menudo comienza su cifrado. La solución observa la forma en que las aplicaciones interactúan con los archivos, y cuando detecta un comportamiento de ransomware, lo detiene inmediatamente antes de que se cifren los archivos.   Cybereason RansomFree utiliza técnicas de detección de comportamiento puro y no se basa en firmas de malware.

Lo he instalado en mi máquina. Crea directorios ocultos con archivos que supervisa en el escritorio y en cada partición .

Todavía no he probado su efectividad (por ejemplo, modificando rápidamente todos los archivos en uno de esos directorios).

Tenga en cuenta que este tipo de protección puede no ser una garantía contra todos los efectos del ransomware, ya que no tiene control sobre el orden en que el ransomware procesa los archivos (algunos archivos ya estarán encriptados antes del se detecta el ataque). Además, si la prevención se basa en la tasa de las modificaciones del archivo, el malware puede deslizarse cuando estrangula su propia ejecución (se sabe que algunas variantes lo hacen).

    
respondido por el Jan Doggen 14.05.2017 - 21:45
fuente
3

No creo que funcione porque generará demasiadas falsas alarmas.

El comportamiento a monitorear es el comportamiento de muchas aplicaciones legítimas:

  1. una compresión / herramientas de archivo
  2. un navegador web que guarda localmente una gran cantidad de datos almacenados en caché (comprimidos, en general)
  3. cualquier software que almacene datos en caché
  4. cualquier software que pueda realizar operaciones por lotes (por ejemplo, alteraciones de imagen / sonido)
  5. software de base de datos (operaciones intensivas en io)
  6. incluso mover carpetas manualmente con muchos archivos puede activar la alarma

Además, un ransomware para ser efectivo no necesita cifrar todo el archivo, es suficiente para cifrar solo unos pocos cientos o miles de bytes al principio del archivo

    
respondido por el valentin 15.05.2017 - 11:37
fuente
2

La tecnología ha existido durante décadas ahora. Se llama monitoreo de integridad de archivos, generalmente parte de alguna oferta de HIDS / HIPS.

Las implementaciones varían, pero en pocas palabras, hay un demonio ejecutándose en segundo plano que observa los cambios en los archivos que especifique, y luego genera una alerta cuando el hash del archivo difiere del registrado previamente.

En el caso de ransomware, crearías archivos "canarios" ('readme.txt', etc.) entre tus datos valiosos y verás si hay cambios en ellos. Si cambian de alguna manera, ya sea por manipulación del usuario o por un barrido de ransomware por lotes, recibirá una alerta (con suerte) al inicio del proceso y podría intervenir y mitigar daños adicionales. No importa si encripta el archivo completo o solo el encabezado: el archivo se modificó de cualquier manera, por lo que el hash cambia y se vuelve digno de alerta.

Sin embargo, muy pocos empleadores para los que he trabajado me han molestado. Tal vez hará una reaparición a la luz de los eventos recientes.

    
respondido por el Ivan 15.05.2017 - 20:45
fuente
0

Creo que su enfoque funcionaría, especialmente la siguiente parte:

  

con los archivos de salida que suelen tener una entropía mucho mayor que la   archivos de entrada

Esto debe ser cierto para todos los ransomware.

Sus otras ideas, como observar procesos que abren muchos archivos o consumen una gran cantidad de IO, dependen del ransomware. Dudaría que el ransomware inteligente se ejecute a toda velocidad: desea mantenerse oculto hasta que haya cifrado un gran porcentaje de los archivos en el sistema para que la extorsión funcione. Por lo tanto, no puede simplemente comenzar a cifrar archivos tan rápido como puede, lo que hará que el sistema sea notablemente más lento. Por lo tanto, puede llevar su tiempo y no comportarse de manera notablemente diferente de otros procesos que leen y escriben una gran cantidad de datos.

Probablemente no sea factible observar las instrucciones de la CPU para los pasos de encriptación. El problema más evidente con esto es que esto ralentizaría considerablemente todas las operaciones que realizó su sistema (no solo un poco, supongo que quizás por un factor de 100 o más). Además, la identificación de algoritmos de cifrado basados en las instrucciones de la CPU que se están ejecutando es probablemente un problema difícil, y si funcionara, tendría que hacer de alguna manera una excepción para los procesos que tienen permitido cifrar y descifrar datos.

Pero si quisiera escribir un detector de ransomware, probablemente usaría un enfoque heurístico como usted imagina, solo que más simple: definiría un conjunto de archivos para ver y luego medir periódicamente su entropía. Si varios de ellos hubieran aumentado repentinamente la entropía (por ejemplo, se convirtieron en datos básicamente aleatorios), alertaría inmediatamente al usuario y, si era posible, apagaría el sistema.

    
respondido por el Pascal 14.05.2017 - 23:16
fuente

Lea otras preguntas en las etiquetas