#CyberCamp17
Detección temprana de ransomware
D. José Antonio Gómez HernándezDña. Lucía Álvarez GonzálezDr. Pedro García Teodoro.
Contenido
1. Introduccióna) Definición, tipos y evolución del ransomware.b) Cómo funciona el ransomware de cifrado.c) Cómo protegerse.d) Pagar o no pagar.e) Sistemas de defensa y problemas potenciales
2. Nuestra propuesta: R-Lockera) Arquitectura y requisitos.b) Implementación.c) Beneficios.d) Experimentación y resultados.e) Trabajo futuro.
3. Conclusiones
1a.- Definición
Ransomware: malware especial que demanda un pago para recuperar la funcionalidad robada, principalmente los datos.
Doble extorsión:− Secuestra los datos de su víctima (ataque DoS).− Amenaza de publicar los datos de la víctima.
Distribución drive-by-donwload:− Macros de Word− Script de PowerShell− Troyanos.− Phishing− Drive by download
1a. Tipos
Nos permiten recuperar el sistema si Enviamos SMS premium.SMS
Bloquea el uso de computador/dificulta su interacción modificando la GUI o el navegador.Locking
Cifran el disco duro/archivos y extorsionaa la víctima para recuperar los datos.Cripto
Modifican el MBR para evitar el arranque del Sistema hasta que se pague el rescate.MBR
1a. Evolución1a. Evolución
Fuente: https://avemcapital.com/ransomware-and-phishing/
Coste: +1000M $
1. Cómo funciona
1. Cómo protegernos
LMG Security, “The 3 R’s of Ransonware (https://lmgsecurity.com/ransomwre)
1. Pagar o no pagar …
Alimenta el cibercrimen→ nuevos ataques.
No garantiza claves. Pagaron: 33%
Contribuye a romper la cadena de ataques.
No pagaron:− 54% no pagaron y
recuperaron los datos
− 13% no pagó ni recuperó los datos.
Fuentes: * CyberEdge Group, “2017 CYBERTHREAT DEFENSE REPORT”.** IBM, http://www-03.ibm.com/press/us/en/pressrelease/51230.wss.
1e. Sistemas de defensa
Análisis de comportamiento: examina el comportamiento de una aplicación y sus interacciones con el entorno (FS, conexiones de red, modificaciones del so, etc.): UNVEIL, CRYPTODROP, SHIELDFS.
Depósito de claves: de cara a la recuperación, se obtienen y almacenan los materiales criptográficos: PAYBREAK.
Detección de las primitivas criptográficas: se analizan los binarios para identificar operaciones criptográficas.
Aprendizaje automático: se extraen características de programas benignos y muestras de ransomware para construir un modelo y poder clasificar.
1. Problemas potenciales
Ofuscación:− Encriptación− Oligomórfica− Polimórfica− Metamórfica
Criptografía de caja-blanca Ransomware de las cosas. Ransomware basado en Rootkit. Ataques socio-técnicos:
− Infectar a otros− Exfiltración de datos para extorciones
posteriores!!
2. Nuestra propuesta
Técnica novedosa para la detección temprana de ransomware basada en honeyfiles
Necesidad de bloquear el ransomware (+día cero) antes de que afecte a datos relevantes
R-Locker
2. Arquitectura del sistema
■ Bloqueo inmediato y definitivo de la muestra de ransomware.
■ Sistema de archivos no afectado.
■ Detección y notificacióndel proceso malicioso.
■ Lanzamiento de contramedidas.
Procedimiento operacional conceptual, y por tanto, independiente de la plataforma.
2. Requisitos del sistema
■ Efectividad
■ Bajo consumo
■ No requiere privilegios especiales
■ Transparencia
■ SimplicidadVálido en entornos
reales
Usable
2b. Implementación en Unix
Solución para la detección basada en trampas (honeyfiles)
1ª Idea: “Archivos infinitos”
2ª Idea: Simular “archivo infinito”
modificando la operación de lectura
de las bibliotecas
3ª Idea: Las trampas son cauces FIFO
Alto consumo de recursos.
No sabemos qué bibliotecas usaráel ransomware. Falta de simplicidad
Cumple todos los requisitos.
2b. Solución: FIFOs como Honeyfiles
■ Existen en el sistema de archivos con nombre yjerarquía de dirección.
■ Permiten comunicar procesos no relacionados delectura y escritura.
■ Es persistente.■ Procesos de lectura y escritura sincronizados.
2b. Diagrama de flujo del sistema
2b. Características del despliege
1. Creación de un único fichero trampa (cauce FIFO).2. Creación de enlaces al honeyfile, desplegados
estratégicamente para dar cobertura a todo el FS.3. Situar los enlaces en la primera entrada de cada
directorio.4. Ocultarlos para que no
interfieran en el comportamiento normal del entorno.
5. La solución tiene una complejidad y coste muy bajos.
1. Beneficios del R-Locker
■ La acción del ransomware queda completamentebloqueada al acceder a la trampa.
■ Las contramedidas se lanzan automáticamente pararesolver la infección.
■ Consumo de recursos y almacenamiento mínimos.
■ No es necesaria una monitorización activa.
■ No afecta al resto del sistema o de archivos.
1d. R-Locker
1d. Experimentación
Pruebas iniciales dirigidas al cauce FIFO. Bash-ransomware como prueba de concepto. Pruebas reales. Comprobar el comportamiento de otros programas
sobre las trampas.
WANNACRY
1d. Demostración
1d. Resultados de R-Locker
■ Efectividad.■ Recursos de almacenamiento: 2KB.■ Recursos del sistema utilizados nulos esperando la
acción de un ransomware.■ Tiempo de respuesta: 500-800ms.■ Transparencia■ Simplicidad
1e. Solución para Android
Android está construido sobre el Kernel de Linux, pero Android NO es Linux
Limitaciones:FIFO
Enlaces
Módulo añadido al
Kernel
1e. Vías futuras
•Monitorización del sistema para un despliegue coherenteDespliegue
•Gestión automática de procesos
•Eliminar archivos del malwareFuncionalidades
•Android•Mac Os •Windows
Otras plataformas
1f. Conclusiones
■ Metodología novedosa que se basa en unacaracterística común a todos los ransomware: lanecesidad de leer los archivos para cifrarlos.
■ Se ha diseñado una herramienta de deteccióntemprana de ransomware sencilla y eficiente quecumple con los requisitos preestablecidos.
■ Se ha implementado en Linux y se ha estudiado enotras plataformas.
■ Se han comparado los resultados obtenidos con laspropuestas ya existentes, obteniéndose mejoresresultados.
Gracias por su atención
Número de diapositiva 1Contenido1a.- Definición1a. Tipos1a. Evolución1. Cómo funciona1. Cómo protegernos1. Pagar o no pagar …1e. Sistemas de defensa1. Problemas potenciales2. Nuestra propuesta2. Arquitectura del sistema2. Requisitos del sistema2b. Implementación en Unix2b. Solución: FIFOs como Honeyfiles2b. Diagrama de flujo del sistema2b. Características del despliege1. Beneficios del R-Locker1d. R-Locker1d. ExperimentaciónNúmero de diapositiva 211d. Demostración1d. Resultados de R-Locker1e. Solución para Android1e. Vías futuras1f. ConclusionesNúmero de diapositiva 27
Top Related