Odpowiedzią na ransomware jest ochrona behawioralna

18 lipca 2016, 15:57
Michał Jarski - dyrektor regionalny ds. sprzedaży w firmie Trend Micro. Fot. Trend Micro

Trzeba szerzej spojrzeć na kwestię ochrony prywatnych danych. W jakich sytuacjach są one zagrożone? Przede wszystkim należy brać pod uwagę fizyczną utratę urządzenia – w tym wypadku, dzięki zastosowaniu odpowiednich rozwiązań szyfrujących, osoba postronna nawet po złamaniu hasła dostępu do urządzenia nie będzie mogła dostać się do danych. Pozostaną one transparentne tylko dla właściciela – mówi Michał Jarski, dyrektor regionalny w firmie Trend Micro w rozmowie z portalem Cyberdefence24.

Czy rozwiązanie przedstawione ostatnio przez Uniwersytet Florydy jest tak unikatowe jak przedstawiają je twórcy?

Rozwiązania monitorujące zachowania w systemach IT były już dostępne przed pojawieniem się  narzędzia CryptoDrop, a zatem nie można mówić, że jest to unikatowe rozwiązanie, stanowiące przełom w walce z ransomware. Od wielu lat w rozwiązaniach Trend Micro zawarte są podobne mechanizmy, które na potrzeby identyfikacji i neutralizacji ransomware zostały uzupełnione o reguły reagujące konkretnie na ten rodzaj zagrożenia.

Mówiąc bardzo ogólnie, tradycyjne systemy antywirusowe są w stanie rozpoznać to, co w chwili tworzenia oprogramowania oraz jego „aktualizacji sygnatur”  było znane w kontekście bieżących zagrożeń. Problem z nowo powstałymi wirusami polega na tym, że zanim znajdzie się na nie skuteczne rozwiązanie, upłynie trochę czasu i pewna liczba użytkowników indywidualnych czy firm padnie ofiarą ataku.  Jest to analogiczna sytuacja do szukania szczepionki na wirusy biologiczne – musimy rozpoznać wirusa zerowego, stworzyć skuteczną szczepionkę, a następnie dostarczyć ją pacjentom. Podobnie jest w przypadku wirusów internetowych (stąd też nazwa tej problematyki odwołująca się do farmakologii). Rozwiązania chmurowe i wyeliminowanie konieczności aktualizacji programów skróciło czas doręczania rozwiązania, ale nie skróciło czasu potrzebnego na wyprodukowanie narzędzia. Mówimy w tym miejscu o zastosowaniu modułu, który jest niezależny od aktualizacji czy wiedzy na temat konkretnego atakującego.

Podsumowując, technologia zastosowana przez amerykańskich badaczy to nic odkrywczego – tym bardziej, że deklarują pewną liczbę utraconych danych. Nasz mechanizm nie tylko blokuje wrogi kod, lecz także jest w stanie odzyskać te pierwsze zaszyfrowane pliki. Nawet jeśli dojdzie do ataku, użytkownik nic nie traci. 

Czy narzędzie CryptoDrop może zostać wykorzystane przez korporacje zajmujące się cyberbezpieczeństwem?

Porównanie CryptoDrop z naszymi rozwiązaniami wypada na niekorzyść narzędzia z Florydy. Dlaczego? Nasze oprogramowanie przeznaczone jest do monitorowania ogólnego stanu bezpieczeństwa, rozpoznawania negatywnych zachowań – nie tylko ransomware, ale ogólnie wrogiego kodu, siejącego szkody w systemie.

Powiedzmy, że taki złośliwy kod próbuje zmodyfikować Boot Record, czyli tę pierwszą część dysku twardego, która jest wczytywana w czasie uruchomiania komputera. Malware może zmodyfikować Boot Record w taki sposób, aby wczytał się w tym sektorze inny mikroskopijny kod, który będzie zmieniał dalsze zachowania. Moduł behawioralny zawarty w rozwiązaniach Trend Micro pozwala monitorować próby dostępu do tego rekordu oraz uniemożliwić działania wrogich kodów, których formy jeszcze nie znamy.

Oczywiście moduły behawioralne są zawarte również w ogólnie rozumianych programach antywirusowych, natomiast nie wykazują one równie wysokiej skuteczności. Wynika to głównie z elastyczności naszego oprogramowania, która uwzględnia dodanie nowych reguł decydujących o obronie przed konkretnym zagrożeniem, np. ransomware.

Ochrona w czasie rzeczywistym istotnie jest najlepszą ochroną, opracowywanie próbek wirusów zwykle zajmuje trochę czasu, dlatego tak ważne są rozwiązania działające natychmiast.

Trzeba szerzej spojrzeć na kwestię ochrony prywatnych danych. W jakich sytuacjach są one zagrożone? Przede wszystkim należy brać pod uwagę fizyczną utratę urządzenia – w tym wypadku, dzięki zastosowaniu odpowiednich rozwiązań szyfrujących, osoba postronna nawet po złamaniu hasła dostępu do urządzenia nie będzie mogła dostać się do danych. Pozostaną one transparentne tylko dla właściciela.

Istnieje wiele punktów wejścia kodu złośliwego do komputera ofiary (poczta, internet, klucze USB) – każdy z tych elementów może być zabezpieczony odpowiednim murem ochronnym. Warstw ochronnych jest bardzo dużo – można monitorować ruch sieciowy, identyfikować nadawców wiadomości, kontrolować instalowane i uruchamiane aplikacje, stosować behawioralną analizę sieci. Chodzi przede wszystkim o to, aby blokować procesy, które pojawiły się nagle, w bardzo szybkim tempie zaczęły prowadzać zmiany w systemie i do tej pory nie były w nim obserwowane. Co więcej, w naszych rozwiązaniach są zawarte reguły pilnujące, czy są zawsze włączone shadow copies (kopie ukryte przyp. red.) – tak, aby w razie potrzeby można było wrócić do poprzednich wersji poszczególnych plików.

W przypadku ransomware nawet po zainfekowaniu pierwszych trzech czy czterech plików można przywrócić poprzednią wersję. Ten mechanizm jest banalnie prosty w opisie, ale okazuje się trudny w realizacji. Głównie z uwagi na możliwość wywoływania dużej liczby fałszywych alarmów – na przykład w firmach, które masowo przetwarzają dane graficzne. Nadmierna liczba alarmów, które okazują się niczym nieuzasadnione, zawsze spowoduje wyłączenie wywołującej je funkcjonalności. Narzędzie musi zatem rozpoznawać procesy, które są inicjowane przez właściciela od tych, które są rozpoczynane bez jego woli.

Naukowcy z uniwersytetu chwalą się 100 proc. skutecznością i jedynie niewielką ilością plików utraconych podczas działania ransomware.

Trzeba pamiętać o tym, że ransomware działa w bardzo różny sposób. Mamy oczywiście do czynienia z typem ransomware’a, który blokuje dostęp do komputera i w tle zaczyna szyfrować pliki. Ale istnieje na przykład cała rodzina malware’u Petya, która działa w zupełnie odmienny sposób. W pierwszej kolejności powoduje on zawieszenie komputera i wyświetlenie tzw. bluescreen’a (modyfikując jednocześnie Master Boot Record). Petya umyślnie uruchamia ten proces, aby wymusić na użytkowniku ponowne uruchomienie komputera i załadowanie zamiast Windowsów podrzuconego przezeń oprogramowania. Jest to swego rodzaju mikrosystem operacyjny, który udaje działanie CheckDisk. Użytkownik widzi coś, co przypomina proces sprawdzający strukturę dysku w przypadku zepsucia się Windowsów. Jednak Petya w rzeczywistości szyfruje w tym czasie wszystkie pliki. Niepodejrzewający niczego użytkownik myśli, że dochodzi do sprawdzenia dysku, a tak naprawdę pliki są szyfrowane.

W takiej sytuacji CryptoDrop (nawet przy swojej niemal stuprocentowej skuteczności) nie zadziała, ponieważ monitoruje system tylko wtedy, gdy jest jednym z procesów uruchomionych przez Windows. Natomiast rozwiązania Trend Micro mogą zapobiec takiej sytuacji właśnie dzięki modułowi behawioralnemu, który pilnuje nie tylko tego, jak wyglądają seryjne modyfikacje, lecz także dostępu do Master Boot Record

Prototyp CrytptoDrop jest na ten moment tylko przeznaczony na systemy Windows. Jak na rynku kształtuję się dostępność narzędzi działających w czasie rzeczywistym, na różnych platformach.

Najwięcej zagrożeń wymierzonych jest w system Windows – z uwagi na jego powszechność i jednoczesną łatwość ataku na tę platformę. To jest tak naprawdę główny obszar, w którym działają przestępcy.

Czy rozwiązania chmurowe są łatwiejsze? Musimy uświadomić sobie, że ransomware nie jest zagrożeniem, które można rozwiązać w sposób chmurowy. Aktywne blokowanie ma miejsce na lokalnym dysku. Na poziomie chmurowym można próbować filtrować i blokować dostęp do stron, które niosą w sobie malware czy ransomware. Natomiast nie jest to kwestia mocy obliczeniowej, tylko szybkości działania, ponieważ nie musimy aktualizować lokalnego agenta, który pilnowałby dostępu.

Samo trzymanie plików w chmurze też nie zagwarantuje bezpieczeństwa – problem ten dotyczy również użytkowników posiadających kopie zapasowe w chmurze. Dlaczego tak się dzieje? Najczęściej dane chmurowe są obsługiwane przez lokalnego agenta synchronizacyjnego, który monitoruje operacje na dysku. Jeżeli pojawia się nowa wersja pliku czy nowy plik, jest natychmiast kopiowany do chmury. Szyfrując pliki, ransomware de facto dokonuje kolejnej wersji pliku, która jest automatycznie synchronizowana. W efekcie dane zapasowe w chmurze są zastępowane zaszyfrowanymi plikami. Dlatego należy wybrać takiego dostawcę usług chmurowych, który zapewni wersjonowanie – czyli możliwość sięgnięcia do wersji np. sprzed dwóch dni. I skorzystania z tych wersji plików do odzyskania swoich informacji.

To jedna z wad systemu jako całości, która sprawia, że ranswomawe jest tak skuteczny. Nawet jeśli ktoś był spokojny o swoje dane, bo myślał, że w razie konieczności skorzysta z kopii zapasowych zapisanych w chmurze, to ransomware potrafi równie dobrze zniszczyć backup jak podstawowe pliki. Dlatego najlepiej  – oprócz kilku kopii zapasowych online – posiadać także wersję offline.

Warto pamiętać o tym, że antywirus w tradycyjnym rozumieniu dziś nie jest już całkowicie skuteczny. Potrzebne są rozwiązania wielowarstwowe, które operują wieloma zróżnicowanymi technikami obrony. Ochrona poczty, dostępu do internetu, kontrola aplikacji,  monitoring behawioralny, ochrona dysku, portów USB – jest tak wiele miejsc, o których trzeba pamiętać. Poziom zaawansowania i wiedzy użytkowników nie jest dla przestępców żadną przeszkodą.

Czytaj też: Adobe Flash Player jest słusznie blokowany

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 1
ak
niedziela, 18 września 2016, 22:48

Kolejny skorumpowany pajac, urwał się z choinki i nagle się okazuje że ma coś do powiedzenia. Co to za koleś i dlaczego nie słyszałem o nim wcześniej ?