Verhindern Sie Ransomware-Angriffe durch Erkennen verdächtiger Dateisystemaktivitäten

623
Stilez

Angenommen, ein Windows 8/10-Heim- / Small-Office-System mit 3-4 Benutzern und einigen TB Dateifreigaben (etwa 6 TB in einem geeigneten RAID). Die meisten Dateien sind statisch, aber manchmal werden Dateien verschoben oder geändert. Wenn das Überschreiben / Löschen jedoch mit einer zu hohen Rate (Anzahl der Dateien / dauerhafte Rate) beginnt, könnte dies ein Zeichen für böswillige Aktivitäten sein und ein Ereignis sollte ausgelöst werden, um einen Benutzer zu warnen oder darauf zu reagieren.

Wenn es sich um einen Ransomlocker-Angriff handelt, und die Modifizierung der Datei in den ersten 5/30 Minuten erkannt und angehalten werden kann, ist die Wahrscheinlichkeit ziemlich groß, dass Schäden lokalisiert werden oder andere Sicherungen für dieselben / ähnliche Daten vorhanden sind. damit kann man mit leben. (Mein Grund für diese Ansicht ist, dass es 10 bis 20 Stunden dauert, nur ein 4-TB-Laufwerk für das lokale Kopieren zu streamen; das Verschlüsseln eines 6-TB-RAID ist aufgrund des ständigen Schreib- und Lesevorgangs der Quelllaufwerke viel langsamer.)

Das Problem ist, dass Datei-ACLs nicht für mehr als eine binäre "unbegrenzte Berechtigung" / "Null-Berechtigung" gedacht sind. Das funktioniert nicht bei anderen Malware-Problemen (schlechte Anhänge / Downloads usw.) und hilft hier nicht. Ich würde gerne eine Art "Sanitätsprüfung" darüber, wie viel und welche Art von Aktivität mit diesem Zugriff durchgeführt wird. Ich möchte aber auch die Dateibehandlung nicht verlangsamen, wenn dies legitim ist, es sei denn, ein tatsächlicher verdächtiger Zugriff wird erkannt.

Welche Arten von Techniken können verwendet werden, damit ein schädlicher Prozess auf dem Gerät oder im LAN ausgeführt werden kann und mit einem Hochgeschwindigkeitszyklus von "Read-Modify-Overwrite" oder "Read-Savenewfile-deleteoriginal" auf einem Gerät begonnen wird. Die resultierende Dateiaktivität könnte von diesem Gerät als verdächtig gemeldet werden?

Das Ziel der Entdeckung ist also die wahnsinnige Flut der Aktenaktivität, die ein Ransomlocker-Angriff starten würde. Es wäre sehr schwer zu verbergen, nachhaltig und sehr unverwechselbar. Ransomlocker-Angriffe sollten am einfachsten zu verhindern sein. Aber wie sollte man danach suchen?

Aktualisieren:

Bitte entschuldigen Sie die falsche Formulierung. Ich habe die Formulierung, die dazu geführt hat, als Ablenkung gestrichen - ich dachte, es wäre hepful. Aber die technischen Aspekte von ACL sind hier wirklich ein Thema. Das Problem / die Frage ist nicht "Können Sie Ihre Dateisystemstruktur sperren, um Probleme mit Ransomware zu vermeiden", auch wenn Sie dies unbedingt tun können.

Die Frage steht näher: "Sie haben ein großes Windows-basiertes Dateisystem, aber die Berechtigungen können oder werden nicht gesperrt ( aus welchem ​​Grund auch immer, ob einige zustimmen oder nicht zustimmen ). Theoretisch wäre ein Ransomlocker-Angriff Ransomware-Aktivitäten sind völlig unverkennbar, und es kann nicht erkannt werden, dass das Dateisystem eine unverwechselbare und äußerst unverwechselbare Dateisystemaktivität aufweist, die, falls sie bemerkt wird, möglicherweise wirksame Maßnahmen zulassen würde, bevor der Schaden extrem wird ungewöhnliches Verhalten des Dateisystems, auch wenn die Malware nicht erkannt wird Frage: Wenn eine solche Erkennung wünschenswert wäre, mit welchen Methoden / Tools / Techniken kann die Art der Aktivität erkannt werden? "

1
** "Das Problem ist, dass Datei-ACLs nicht für mehr als eine binäre Berechtigung" unbegrenzte Berechtigung "/" Null Berechtigung "vorgesehen sind. Dies widerspricht der Prüfung CompTIA Security + mit 3 Einzelzielen. Ramhound vor 8 Jahren 1
Side-Issues, aber sicher, ACLs für Dateien sind definiert in Bezug darauf, ob Berechtigung / Konto X die Aktion Y "ausführen kann - was im Wesentlichen binär ist. Keine ACL, von der ich gehört habe, wird in Form von _how definiert, wie der Zugriff verwendet wird, wenn er verifiziert ist allowed_ (die engste, die ich mir vorstellen kann, ist die Quota-Durchsetzung, wird aber normalerweise als ACL-Element betrachtet?) Wenn ACLs detailliertere Berechtigungen für die Verwendung einer Berechtigung im Dateisystem festlegen können und nicht nur die Granularität der Berechtigungen, in denen die Berechtigungen verwendet werden Um welche Dateien es sich handelt, können Sie das erklären, sonst scheint dieser Kommentar ein Thema zu sein oder nicht Stilez vor 8 Jahren 0
Ich habe die "unbegrenzte" Erlaubnis verurteilt. Sie können eine Gruppe sicherlich auf Lesen, Schreiben und Ausführen beschränken. Lesen und Schreiben, Lesen und Ausführen, Lesen und Schreiben und Ausführen, und für Ordner können Sie nur die Inhalte auflisten, jedoch keinen der oben genannten. Wenn also eine ACl richtig konfiguriert ist, kann sie vor Ransomware schützen. Ich glaube natürlich, dass die einzigen sicheren Daten von Ransomware Daten sind, die zum Zeitpunkt der Infektion nicht verbunden sind. Der beste Weg, dies zu verhindern, ist, sich überhaupt nicht anzustecken Ramhound vor 8 Jahren 0
@ Ramhound ,, Ich stimme zu, dass das Sperren des Ablagesystems die Aufgabe erfüllen würde. Wenn das vollständige Sperren jedoch keine Option ist oder der Benutzer mehrschichtige Sicherheit für das Sperren und die Aktivitätserkennung im Falle einer Eskalation von Berechtigungen / Problemen im Zusammenhang mit dem Zugriff eines Administrators / einer anderen ACL-Umgehung wünscht, ist der Hauptpunkt der Frage gültig ein. Ich habe ein Update hinzugefügt, um die Frage zu klären und zu fokussieren, und habe das Par mit der Ablenkung durchgestrichen. Stilez vor 8 Jahren 0
Durch die Überwachung des Dateisystems können Sie Ihre Protokolle mit vielen Tools auf ungewöhnliche Mengen von Dateilöschungen oder -erstellungen überwachen. Die meisten Verschlüsselungstechniken löschen die Datei nach dem Verschlüsseln. Sie können auch Benutzerverhaltensanalysen ausprobieren. Diese Art von Tools konzentriert sich auf die Überwachung des allgemeinen Benutzerverhaltens und der Alarmierung Lesen Sie von jeder Änderung des akzeptierten Verhaltens diese https://blog.varonis.com/the-complete-ransomware-guide/ arana vor 8 Jahren 0
Der Artikel bezieht sich auf ein Dokument, das besagt, dass sie einen Treiber geschrieben haben, um die Aktivität zu überwachen. Kein Verweis auf Tools (außer üblichen Ereignisprotokollen) und keine als vorhanden identifizierten "out there" -Tools bestätigen lediglich die Machbarkeit, die bereits verstanden wurde. Beste Antwort / Info bisher, aber auf konkrete Antworten hoffen. Stilez vor 8 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme