Ransomware – szybsze, trudniejsze do wykrycia i bardziej szkodliwe

Przewodnik po nowoczesnej obronie

Ataki ransomware stały się ciężarem finansowym i poważnym zagrożeniem dla infrastruktury o krytycznym znaczeniu. Nowoczesne ransomware sprawdza gdzie jest, może się usunąć, ukryć, uśpić lub samoistnie zniszczyć. Omija filtry narzędzi antywirusowych i wyłącza narzędzia obrony. Samodzielnie się szyfruje i rozpakowuje. Używa także narzędzi i funkcji systemu Windows do własnych potrzeb skanowania.

Szybsze tempo

Oprogramowanie mające wyłudzić okup działa błyskawicznie. Dzieje się tak, ponieważ może ono pozostawać w stanie uśpionym, sondując otoczenie w poszukiwaniu najlepszego miejsca do ataku. W tym czasie hakerzy uszkadzają punkty odtwarzania kopii zapasowej i usuwają zawartość koszy, aby udaremnić działania zaradcze. Następnie uruchamiany jest atak i szyfrowanie wszystkich zasobów naraz. Ransomware może także szybciej rozprzestrzeniać się z dobrze skomunikowanych wewnętrznych węzłów sieci (takich jak kontrolery domen w systemie Windows), które prowadzą interakcję z większością systemów wewnętrznych.

Trudniejsze wykrycie

Uśpione ransomware omija filtry narzędzi antywirusowych, które oczekują, że szkodliwe oprogramowanie uruchomi się natychmiast. Większość nowoczesnego ransomware wyłącza narzędzia antywirusowe, lub ukrywa się, samodzielnie szyfruje, rozpakowując się wyłącznie w pamięci, tak aby ominąć narzędzia skanujące dyski[1]. Oryginalny plik, który zostanie załadowany do pamięci i zaszyfrowany, zastępują na kilka sposobów: zamieniając w nim dane, podmieniając pod starą nazwą, czy nadpisując.

Nowsze odmiany ransomware omijają Microsoft Defender korzystając z maskowania RIPlace używając starszej funkcji systemu Windows, dzięki której mechanizm zmiany nazwy i nadpisywania plików może działać w sposób niewykrywalny, obchodząc w ten sposób kontrolowany dostęp do folderów.

Nowe warianty potrafią też ukryć obniżenie wydajności systemu powodowane szyfrowaniem, wyświetlając fałszywe komunikaty o błędach. Ponadto wykorzystują wbudowane narzędzia i funkcji systemu Windows na potrzeby skanowania i wybierania celów.

Inteligentniejsze ransomware

Kiedyś wystarczyło zbadać pliki binarne ransomware, które czasami zawierały klucz szyfrowania lub przekazać informację o wykrytym ransomware[2]  do działu analizy zagrożeń, aby opracować nowe mechanizmy ochrony.

Odpowiedzią hakerów było opracowanie szkodliwego oprogramowania ulegającego samozniszczeniu. Gdy usługa wykonująca program przestaje działać, powoduje awarię uniemożliwiającą odczytanie pamięci. Oprogramowanie ransomware nie uruchomi się, jeśli wykryje swoją obecność w środowisku wirtualnym lub debugerze, a jego kod może wówczas wprowadzić w błąd narzędzia analityczne. Ponadto niektóre warianty aktywują się dopiero, gdy haker wyśle kod odblokowujący, co utrudnia mechanizmom obrony przechwycenie i przeanalizowanie szkodliwego programu.

Jak zatrzymać udoskonalone ransomware

Bez względu na poziom zaawansowania kodu, program infekujący musi dostać się do systemów firmy. W tym celu stosuje techniki phishingu, uzyskuje nieautoryzowany dostęp, a także wykorzystuje znane luki w zabezpieczeniach.

Dlatego:

- Zbadaj i zinwentaryzuj powierzchnię ataku[3], aby zrozumieć, gdzie występują zagrożenia.

- Odszyfruj, zbadaj i zablokuj elementy pobrane przez użytkowników oraz ruch pocztowy.

- Wprowadź mechanizmy silnego uwierzytelniania[4].

- Przejrzyj zabezpieczenia stosowane przez podmioty spoza firmy[5], ogranicz prawa ich dostępu.

- Usuń luki w zabezpieczeniach, najpierw te dot. wykorzystywanych eksploitów[6].

Gdy oprogramowanie ransomware dostanie się już do systemów, trzeba skonfigurować mechanizmy tzw. obrony w głąb[7]. Wzmocnić zabezpieczenia kontrolerów domen i zastosować w nich poprawki. Jeśli hakerzy będą próbowali wykorzystywać zasoby naturalne, trzeba ograniczyć dostęp do narzędzi takich jak PowerShell, Nltest, PsExec, McpCmdRun i WMic za pomocą zasad grup.

Warto ograniczyć otwarte współużytkowanie wewnętrznych plików. Zainfekowanie jednego urządzenia oznacza, że wszystkie współużytkowane pliki zostaną zaszyfrowana i/lub wyciekną. Należy też usuwać lub wyłączać nieaktualne wersje łatwego do pokonania przez ransomware protokołu Server Message Block (SMB).

Ograniczanie szkodliwości oprogramowania ransomware

Oprogramowanie ransomware może wydobyć terabajty danych, więc należy ograniczyć lub objąć monitoringiem ruch wychodzący. Oznacza to konieczność użycia narzędzi m.in. do odszyfrowywania i badania ruchu SSL dla wczesnego rozpoznania ataku. Must have pozostaje kopia zapasowa systemów i danych krytycznych przechowywana poza siecią oraz utworzenie szablonów, dzięki którym systemy będzie można szybko zrekonfigurować od podstaw.

Jeśli jednak dojdzie do pechowego zainfekowana ransomware, pozostaje skontaktowanie się z organami ścigania. Dzięki temu firma w mniejszym stopniu naraża się na ewentualne naruszenie przepisów, jeśli postanowi zapłacić przestępcom. Nawet jeśli organizacja zdecyduje się zapłacić okup, należy odbudować wszystkie systemy, których zabezpieczenia mogły zostać naruszone, tak aby mieć pewność, że zostały one oczyszczone ze szkodliwego oprogramowania.

Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland

[1] https://0x00-0x00.github.io/research/2018/10/28/How-to-bypass-AMSI-and-Execute-ANY-malicious-powershell-code.html

[2] https://www.f5.com/labs/articles/threat-intelligence/from-ddos-to-server-ransomware-apache-struts-2-cve-2017-5638-campaign-25922

[3] https://www.f5.com/labs/articles/bylines/to-protect-your-network-you-must-first-know-your-network

[4] https://www.f5.com/labs/articles/cisotociso/tips-and-tricks-for-rolling-out-multi-factor-authentication

[5] https://www.f5.com/labs/articles/cisotociso/third-party-security-is-your-security

[6] https://www.f5.com/labs/articles/cisotociso/prioritizing-vulnerability-management-using-machine-learning

[7] https://www.f5.com/labs/articles/cisotociso/build-defense-in-depth-with-dissimilar-protections