Einfache Möglichkeit, zu deinstallieren PadCrypt ransomware: Entfernen PadCrypt ransomware
Detección temprana de ransomware - CyberCamp · 2018-02-08 · 2. Arquitectura del sistema...
Transcript of Detección temprana de ransomware - CyberCamp · 2018-02-08 · 2. Arquitectura del sistema...
-
#CyberCamp17
Detección temprana de ransomware
D. José Antonio Gómez HernándezDña. Lucía Álvarez GonzálezDr. Pedro García Teodoro.
-
Contenido
1. Introduccióna) Definición, tipos y evolución del ransomware.b) Cómo funciona el ransomware de cifrado.c) Cómo protegerse.d) Pagar o no pagar.e) Sistemas de defensa y problemas potenciales
2. Nuestra propuesta: R-Lockera) Arquitectura y requisitos.b) Implementación.c) Beneficios.d) Experimentación y resultados.e) Trabajo futuro.
3. Conclusiones
-
1a.- Definición
Ransomware: malware especial que demanda un pago para recuperar la funcionalidad robada, principalmente los datos.
Doble extorsión:− Secuestra los datos de su víctima (ataque DoS).− Amenaza de publicar los datos de la víctima.
Distribución drive-by-donwload:− Macros de Word− Script de PowerShell− Troyanos.− Phishing− Drive by download
-
1a. Tipos
Nos permiten recuperar el sistema si Enviamos SMS premium.SMS
Bloquea el uso de computador/dificulta su interacción modificando la GUI o el navegador.Locking
Cifran el disco duro/archivos y extorsionaa la víctima para recuperar los datos.Cripto
Modifican el MBR para evitar el arranque del Sistema hasta que se pague el rescate.MBR
-
1a. Evolución1a. Evolución
Fuente: https://avemcapital.com/ransomware-and-phishing/
Coste: +1000M $
-
1. Cómo funciona
-
1. Cómo protegernos
LMG Security, “The 3 R’s of Ransonware (https://lmgsecurity.com/ransomwre)
-
1. Pagar o no pagar …
Alimenta el cibercrimen→ nuevos ataques.
No garantiza claves. Pagaron: 33%
Contribuye a romper la cadena de ataques.
No pagaron:− 54% no pagaron y
recuperaron los datos
− 13% no pagó ni recuperó los datos.
Fuentes: * CyberEdge Group, “2017 CYBERTHREAT DEFENSE REPORT”.** IBM, http://www-03.ibm.com/press/us/en/pressrelease/51230.wss.
-
1e. Sistemas de defensa
Análisis de comportamiento: examina el comportamiento de una aplicación y sus interacciones con el entorno (FS, conexiones de red, modificaciones del so, etc.): UNVEIL, CRYPTODROP, SHIELDFS.
Depósito de claves: de cara a la recuperación, se obtienen y almacenan los materiales criptográficos: PAYBREAK.
Detección de las primitivas criptográficas: se analizan los binarios para identificar operaciones criptográficas.
Aprendizaje automático: se extraen características de programas benignos y muestras de ransomware para construir un modelo y poder clasificar.
-
1. Problemas potenciales
Ofuscación:− Encriptación− Oligomórfica− Polimórfica− Metamórfica
Criptografía de caja-blanca Ransomware de las cosas. Ransomware basado en Rootkit. Ataques socio-técnicos:
− Infectar a otros− Exfiltración de datos para extorciones
posteriores!!
-
2. Nuestra propuesta
Técnica novedosa para la detección temprana de ransomware basada en honeyfiles
Necesidad de bloquear el ransomware (+día cero) antes de que afecte a datos relevantes
R-Locker
-
2. Arquitectura del sistema
■ Bloqueo inmediato y definitivo de la muestra de ransomware.
■ Sistema de archivos no afectado.
■ Detección y notificacióndel proceso malicioso.
■ Lanzamiento de contramedidas.
Procedimiento operacional conceptual, y por tanto, independiente de la plataforma.
-
2. Requisitos del sistema
■ Efectividad
■ Bajo consumo
■ No requiere privilegios especiales
■ Transparencia
■ SimplicidadVálido en entornos
reales
Usable
-
2b. Implementación en Unix
Solución para la detección basada en trampas (honeyfiles)
1ª Idea: “Archivos infinitos”
2ª Idea: Simular “archivo infinito”
modificando la operación de lectura
de las bibliotecas
3ª Idea: Las trampas son cauces FIFO
Alto consumo de recursos.
No sabemos qué bibliotecas usaráel ransomware. Falta de simplicidad
Cumple todos los requisitos.
-
2b. Solución: FIFOs como Honeyfiles
■ Existen en el sistema de archivos con nombre yjerarquía de dirección.
■ Permiten comunicar procesos no relacionados delectura y escritura.
■ Es persistente.■ Procesos de lectura y escritura sincronizados.
-
2b. Diagrama de flujo del sistema
-
2b. Características del despliege
1. Creación de un único fichero trampa (cauce FIFO).2. Creación de enlaces al honeyfile, desplegados
estratégicamente para dar cobertura a todo el FS.3. Situar los enlaces en la primera entrada de cada
directorio.4. Ocultarlos para que no
interfieran en el comportamiento normal del entorno.
5. La solución tiene una complejidad y coste muy bajos.
-
1. Beneficios del R-Locker
■ La acción del ransomware queda completamentebloqueada al acceder a la trampa.
■ Las contramedidas se lanzan automáticamente pararesolver la infección.
■ Consumo de recursos y almacenamiento mínimos.
■ No es necesaria una monitorización activa.
■ No afecta al resto del sistema o de archivos.
-
1d. R-Locker
-
1d. Experimentación
Pruebas iniciales dirigidas al cauce FIFO. Bash-ransomware como prueba de concepto. Pruebas reales. Comprobar el comportamiento de otros programas
sobre las trampas.
-
WANNACRY
-
1d. Demostración
-
1d. Resultados de R-Locker
■ Efectividad.■ Recursos de almacenamiento: 2KB.■ Recursos del sistema utilizados nulos esperando la
acción de un ransomware.■ Tiempo de respuesta: 500-800ms.■ Transparencia■ Simplicidad
-
1e. Solución para Android
Android está construido sobre el Kernel de Linux, pero Android NO es Linux
Limitaciones:FIFO
Enlaces
Módulo añadido al
Kernel
-
1e. Vías futuras
•Monitorización del sistema para un despliegue coherenteDespliegue
•Gestión automática de procesos
•Eliminar archivos del malwareFuncionalidades
•Android•Mac Os •Windows
Otras plataformas
-
1f. Conclusiones
■ Metodología novedosa que se basa en unacaracterística común a todos los ransomware: lanecesidad de leer los archivos para cifrarlos.
■ Se ha diseñado una herramienta de deteccióntemprana de ransomware sencilla y eficiente quecumple con los requisitos preestablecidos.
■ Se ha implementado en Linux y se ha estudiado enotras plataformas.
■ Se han comparado los resultados obtenidos con laspropuestas ya existentes, obteniéndose mejoresresultados.
-
Gracias por su atención
Número de diapositiva 1Contenido1a.- Definición1a. Tipos1a. Evolución1. Cómo funciona1. Cómo protegernos1. Pagar o no pagar …1e. Sistemas de defensa1. Problemas potenciales2. Nuestra propuesta2. Arquitectura del sistema2. Requisitos del sistema2b. Implementación en Unix2b. Solución: FIFOs como Honeyfiles2b. Diagrama de flujo del sistema2b. Características del despliege1. Beneficios del R-Locker1d. R-Locker1d. ExperimentaciónNúmero de diapositiva 211d. Demostración1d. Resultados de R-Locker1e. Solución para Android1e. Vías futuras1f. ConclusionesNúmero de diapositiva 27