Atak ransomware nie należy do zwykłych infekcji przez złośliwe oprogramowanie. Jest to złożona seria działań, gdzie infekcja inicjująca jest tylko pierwszym krokiem. Udany atak ransomware prawie zawsze obejmuje różne wektory ataku, często kierowane przez człowieka. Skuteczne odparcie ataku wymaga rozwiązania, które jest w stanie zneutralizować pełny zakres zagrożeń z tych wektorów.
Microsoft wydał niedawno szczegółowy raport opisujący działanie różnych wariantów ransmoware, które to są ręcznie sterowane przez człowieka. Poniżej znajdują się niektóre tam wymienione cechy charakterystyczne ransomware kierowanych przez hakerów:
- Rozpoczynają infekcje prostymi rodzajami złośliwego oprogramowania, które mogą wywoływać wiele alertów lecz zazwyczaj są klasyfikowane jako niegroźne,
- Rozprzestrzeniają wiele wariantów malware dopóki, któryś nie zostanie wychwycony przez oprogramowanie antywirusowe,
- Atakują serwery ze skonfigurowanym protokołem RDP otwartym do Internetu i stosują ataki typu Brute Force w celu uzyskania dostępu do sieci korporacyjnej,
- Dostając się do sieci wewnętrznej najpierw badają ją,
- Mogą używać innych narzędzi w celu kradzieży poświadczeń,
- Następnie z poświadczeniami administratora mogą zatrzymać usługi, takie jak np.: ochrona antywirusowa,
- Pobierają na stacje inne narzędzia w celu utrzymania złośliwego oprogramowania i czyszczenia dzienników zdarzeń,
- Wykonują skrypty PowerShell łączące się z serwerem poleceń w celu stałej kontroli nad stacjami końcowymi,
- Mogą wprowadzać pliki binarne i wykorzystywać alternatywne strumienie danych w celu maskowania wykonywania kodu ransomware jako kod prawidłowy,
Widziane techniki ransomware
Wykonanie ataku ransomware na najwyższym poziomie uprawnień przy najmniejszej licznie przeszkód jest celem każdego cyberprzestępcy. Zwykle oprogramowanie tego typu wyłącza lub szyfruje kopie zapasowe więc nie można jej wykorzystać do odzyskania danych po ataku. Można także zauważyć że niektóre warianty ransomware wyciągają poufne dane, a okupanci grożą ofierze ujawnieniem danych jeśli okup nie zostanie opłacony.
Inne rodzaje ransmoware zawierają polimorfizm lub kod, który ciągle się zmienia w celu uniknięcia wykrycia. Popularna także staje się technika bezplikowa, która infekuje stacje końcowe bez umieszczania na nich jakichkolwiek plików. Inni hakerzy zaś zaczęli stosować technikę sztucznej inteligencji w celu automatyzacji działań, które wcześniej musiał wykonać człowiek.
Sygnatury nie blokują oprogramowania ransomware
Systemy antywirusowe bazujące na sygnaturach są całkowicie niewystarczające do odpierania ataków, które mogą pochodzić z wielu wektorów.
„Reagujemy na setki ataków ransoware rocznie. W każdym z tych przypadków, gdzie ofiara korzystała z tradycyjnej ochrony sygnaturowej, zagrożenie nie zostało wykryte pozwalając zaszyfrować krytyczne dane.”
Narodowy Instytut Standaryzacji i Technologii (NIST) opisuje ograniczenia tradycyjnych rozwiązań sygnaturowych w następujący sposób:
„Wykrywanie oparte na sygnaturach jest bardzo skuteczne w wykrywaniu znanych zagrożeń, ale w dużej mierze nieskuteczne w wykrywaniu tych nieznanych oraz zagrożeń ukrytych przy użyciu technik unikania. Na przykład, jeśli osoba atakująca zmodyfikuje złośliwe oprogramowanie, aby używało nazwy pliku „freepics2.exe”, oparta na sygnaturach ochrona szukając nazwy „freepics.exe” nie znajdzie jej.”
„Wykrywanie oparte na sygnaturach jest najprostszą metodą detekcji, ponieważ po prostu porównuje bieżącą aktywność z listą sygnatur wykorzystując operację porównywania ciągów znaków. Technologie oparte na detekcji na podstawie sygnatur nie są w stanie śledzić i rozumieć złożonej komunikacji na podstawie wielu protokołów sieciowych. Brakuje im także zapamiętywania poprzedniego żądania, gdy przetwarzane jest kolejne. Te ograniczenia powodują, że metody oparte o sygnatury nie są w stanie nadążyć za atakami zawierającymi wiele zdarzeń, jeśli żadne z nich nie zawiera wyraźnych cech ataku.”
Kolejny krok w ewolucji: EPP
Platforma ochrony punktów końcowych (EPP) to kolejny krok w stronę zwiększenia ochrony. Systemy EPP to:
„zestaw narzędzi programowych i technologii, które umożliwiają zabezpieczenie punktów końcowych. Jest to zunifikowane rozwiązanie bezpieczeństwa, które łączy w sobie oprogramowanie antywirusowe, antyspyware, wykrywające i zapobiegające intruzom, osobistą ochronę firewall i inne rozwiązania ochrony stacji końcowych.”
Niektóre rozwiązania EPP obejmują analizę zagrożeń i danych, lecz czasem brakuje im takich możliwości jak zdolność do analizy pamięci, co pozwoliłoby na wykrywanie ataków wykonujących się w pamięci operacyjnej. To pozwoliłoby na rozpoznawanie ataków typu LOL (Living-off-the-land), które przejmują funkcje systemu operacyjnego.
Platformy EPP są ważnym krokiem we właściwym kierunku, ponieważ odpowiednio wdrożone zapewniają krąg obronny w całej organizacji na wszystkich punktach końcowych, które są potencjalnymi kanałami złośliwego oprogramowania. Nawet jeden niemonitorowany punkt może być przyczyną przedostania się intruzów do wnętrza organizacji i powodzenia ataku ransomware.
Konsekwencją w pełni wdrożonego systemu EPP jest potencjalnie duża ilość danych generowanych przez stacje końcowe, które muszą być analizowane pod kątem pojawienia się zagrożeń. Ponadto wraz z rozrastaniem się organizacji, ilość generowanych danych rośnie wykładniczo.
Rozwiązanie problemu: EDR
Co ważne, jak zaznaczono to w komentarzu NIST, platformy oparte na sygnaturach nie są w stanie przeanalizować kontekstu ataku i podnieść alert w przypadku pojawienia się wzorca jak wielokrotne próby logowania na stacjach końcowych, które mogą wskazywać na atak techniką Brute Force. Rozwiązania EPP analizują dane pod tym kątem i są w stanie wykrywać tego typu ataki.
Ataki stają się co raz to bardziej wyrafinowane i to jak te zagrożenia realizują swoje możliwości analityczne może stać się problemem do rozwiązania. Uniwersytet w Maryland oszacował, że w 2007 roku, atak malware występował co 39 sekund, a do tego czasu objętość ta niewątpliwie wzrosła. Rozwiązania chmurowe jak i te wykorzystujące centralną bazę danych mogą powodować wąskie gardła i opóźnienia w alertach, zapewniając atakującym korzyści w przedostawaniu się do wnętrza sieci. Zagrożenia stale rozwijają się i można zauważyć, że cześć z nich ma już zaimplementowaną technologię sztucznej inteligencji.
Technologia EDR (Endpoint Detection and Response) wykorzystuje analitykę danych i zagrożeń, która pomaga w detekcji i poddawaniu kwarantannie złośliwych procesów. Najbardziej efektywnymi rozwiązaniami są rozwiązania Active EDR, które to wykorzystują mechanizmy sztucznej inteligencji i uczenia maszynowego do analizy behawioralnej aktywności systemu. Platformy te badają dane na stacji końcowej w czasie rzeczywistym przy minimalnych nakładach zasobów. Kolejną ich zaleta jest automatyzacja reakcji, co pozwala na niezwykle szybkie podejmowanie działań. Zastosowanie sztucznej inteligencji pozwala aktywnym EDR na zareagowanie na ataki ransomware znacznie szybciej niż zrobiłby to człowiek widząc podniesiony alert.
Wniosek
Analizując behawiorystykę zagrożeń, a nie zgodności z sygnaturą, Active EDR jest w stanie wykryć o wiele więcej złośliwego oprogramowania pochodzącego z różnych wektorów i występujących pod różnymi postaciami. Rozwiązanie obserwuje procesy wskazując te podejrzane i natychmiast je neutralizuje zanim zdążą się rozprzestrzenić.
Active EDR poprzez zautomatyzowaną analitykę aktywności dostarcza skompensowane dane, redukując w ten sposób ich ilość i pozwala skupić się na tych najbardziej istotnych. Pozwala to skrócić czas potrzebny na analizę przez ludzi, pozwalając im nadążyć za aktywnościami generowanymi przez systemy. Pozwala to także znacznie zmniejszyć liczbę potrzebnych osób do obsługi takich systemów.
Rutynowe stosowanie technologii Active EDR przy każdym incydencie ransomware pozwala na 100% skuteczność neutralizacji zagrożenia. Technologia pozwala odzyskiwać zaszyfrowane systemy, niezależnie czy wykorzystujemy kopie zapasowe czy klucze deszyfrujące. Active EDR okazuje się skuteczny w walce z najbardziej uporczywymi wariantami złośliwego oprogramowania ransomware. Klienci, którzy raz zobaczyli w działaniu nasz Active EDR, bez wątpliwości decydują się na zakup naszego systemu.
Czytaj więcej o możliwościach SentinelOne na stronie SentinelOne