#CyberCamp17

Detección temprana de ransomware

D. José Antonio Gómez HernándezDña. Lucía Álvarez GonzálezDr. Pedro García Teodoro.

Contenido

1. Introduccióna) Definición, tipos y evolución del ransomware.b) Cómo funciona el ransomware de cifrado.c) Cómo protegerse.d) Pagar o no pagar.e) Sistemas de defensa y problemas potenciales

2. Nuestra propuesta: R-Lockera) Arquitectura y requisitos.b) Implementación.c) Beneficios.d) Experimentación y resultados.e) Trabajo futuro.

3. Conclusiones

1a.- Definición

Ransomware: malware especial que demanda un pago para recuperar la funcionalidad robada, principalmente los datos.

Doble extorsión:− Secuestra los datos de su víctima (ataque DoS).− Amenaza de publicar los datos de la víctima.

Distribución drive-by-donwload:− Macros de Word− Script de PowerShell− Troyanos.− Phishing− Drive by download

1a. Tipos

Nos permiten recuperar el sistema si Enviamos SMS premium.SMS

Bloquea el uso de computador/dificulta su interacción modificando la GUI o el navegador.Locking

Cifran el disco duro/archivos y extorsionaa la víctima para recuperar los datos.Cripto

Modifican el MBR para evitar el arranque del Sistema hasta que se pague el rescate.MBR

1a. Evolución1a. Evolución

Fuente: https://avemcapital.com/ransomware-and-phishing/

Coste: +1000M $

1. Cómo funciona

1. Cómo protegernos

LMG Security, “The 3 R’s of Ransonware (https://lmgsecurity.com/ransomwre)

1. Pagar o no pagar …

Alimenta el cibercrimen→ nuevos ataques.

No garantiza claves. Pagaron: 33%

Contribuye a romper la cadena de ataques.

No pagaron:− 54% no pagaron y

recuperaron los datos

− 13% no pagó ni recuperó los datos.

Fuentes: * CyberEdge Group, “2017 CYBERTHREAT DEFENSE REPORT”.** IBM, http://www-03.ibm.com/press/us/en/pressrelease/51230.wss.

1e. Sistemas de defensa

Análisis de comportamiento: examina el comportamiento de una aplicación y sus interacciones con el entorno (FS, conexiones de red, modificaciones del so, etc.): UNVEIL, CRYPTODROP, SHIELDFS.

Depósito de claves: de cara a la recuperación, se obtienen y almacenan los materiales criptográficos: PAYBREAK.

Detección de las primitivas criptográficas: se analizan los binarios para identificar operaciones criptográficas.

Aprendizaje automático: se extraen características de programas benignos y muestras de ransomware para construir un modelo y poder clasificar.

1. Problemas potenciales

Ofuscación:− Encriptación− Oligomórfica− Polimórfica− Metamórfica

Criptografía de caja-blanca Ransomware de las cosas. Ransomware basado en Rootkit. Ataques socio-técnicos:

− Infectar a otros− Exfiltración de datos para extorciones

posteriores!!

2. Nuestra propuesta

Técnica novedosa para la detección temprana de ransomware basada en honeyfiles

Necesidad de bloquear el ransomware (+día cero) antes de que afecte a datos relevantes

R-Locker

2. Arquitectura del sistema

■ Bloqueo inmediato y definitivo de la muestra de ransomware.

■ Sistema de archivos no afectado.

■ Detección y notificacióndel proceso malicioso.

■ Lanzamiento de contramedidas.

Procedimiento operacional conceptual, y por tanto, independiente de la plataforma.

2. Requisitos del sistema

■ Efectividad

■ Bajo consumo

■ No requiere privilegios especiales

■ Transparencia

■ SimplicidadVálido en entornos

reales

Usable

2b. Implementación en Unix

Solución para la detección basada en trampas (honeyfiles)

1ª Idea: “Archivos infinitos”

2ª Idea: Simular “archivo infinito”

modificando la operación de lectura

de las bibliotecas

3ª Idea: Las trampas son cauces FIFO

Alto consumo de recursos.

No sabemos qué bibliotecas usaráel ransomware. Falta de simplicidad

Cumple todos los requisitos.

2b. Solución: FIFOs como Honeyfiles

■ Existen en el sistema de archivos con nombre yjerarquía de dirección.

■ Permiten comunicar procesos no relacionados delectura y escritura.

■ Es persistente.■ Procesos de lectura y escritura sincronizados.

2b. Diagrama de flujo del sistema

2b. Características del despliege

1. Creación de un único fichero trampa (cauce FIFO).2. Creación de enlaces al honeyfile, desplegados

estratégicamente para dar cobertura a todo el FS.3. Situar los enlaces en la primera entrada de cada

directorio.4. Ocultarlos para que no

interfieran en el comportamiento normal del entorno.

5. La solución tiene una complejidad y coste muy bajos.

1. Beneficios del R-Locker

■ La acción del ransomware queda completamentebloqueada al acceder a la trampa.

■ Las contramedidas se lanzan automáticamente pararesolver la infección.

■ Consumo de recursos y almacenamiento mínimos.

■ No es necesaria una monitorización activa.

■ No afecta al resto del sistema o de archivos.

1d. R-Locker

1d. Experimentación

Pruebas iniciales dirigidas al cauce FIFO. Bash-ransomware como prueba de concepto. Pruebas reales. Comprobar el comportamiento de otros programas

sobre las trampas.

WANNACRY

1d. Demostración

1d. Resultados de R-Locker

■ Efectividad.■ Recursos de almacenamiento: 2KB.■ Recursos del sistema utilizados nulos esperando la

acción de un ransomware.■ Tiempo de respuesta: 500-800ms.■ Transparencia■ Simplicidad

1e. Solución para Android

Android está construido sobre el Kernel de Linux, pero Android NO es Linux

Limitaciones:FIFO

Enlaces

Módulo añadido al

Kernel

1e. Vías futuras

•Monitorización del sistema para un despliegue coherenteDespliegue

•Gestión automática de procesos

•Eliminar archivos del malwareFuncionalidades

•Android•Mac Os •Windows

Otras plataformas

1f. Conclusiones

■ Metodología novedosa que se basa en unacaracterística común a todos los ransomware: lanecesidad de leer los archivos para cifrarlos.

■ Se ha diseñado una herramienta de deteccióntemprana de ransomware sencilla y eficiente quecumple con los requisitos preestablecidos.

■ Se ha implementado en Linux y se ha estudiado enotras plataformas.

■ Se han comparado los resultados obtenidos con laspropuestas ya existentes, obteniéndose mejoresresultados.

Gracias por su atención

Número de diapositiva 1Contenido1a.- Definición1a. Tipos1a. Evolución1. Cómo funciona1. Cómo protegernos1. Pagar o no pagar …1e. Sistemas de defensa1. Problemas potenciales2. Nuestra propuesta2. Arquitectura del sistema2. Requisitos del sistema2b. Implementación en Unix2b. Solución: FIFOs como Honeyfiles2b. Diagrama de flujo del sistema2b. Características del despliege1. Beneficios del R-Locker1d. R-Locker1d. ExperimentaciónNúmero de diapositiva 211d. Demostración1d. Resultados de R-Locker1e. Solución para Android1e. Vías futuras1f. ConclusionesNúmero de diapositiva 27