ŹródłoRansomware to typ szkodników, które nie tylko stają się coraz bardziej popularne, ale znane są również z tego, że w ostatnich latach wprowadziły wiele "innowacyjnych" metod i technologii, których zadaniem jest jeszcze bardziej uprzykrzyć nasze życie jako użytkowników. Wiadomo, że potrafią wyszukiwać silniki zainstalowanych AV, wykrywać środowiska izolowane jak piaskownice czy mechanizmy wirtualizacji służące często do analizy szkodliwych zachowań. Okazuje się jednak, że niemal powszechnym i bardzo skutecznym działaniem ransomów jest ingerowanie w systemową technologię obsługi kopii/migawek systemowych czyli
Na problem ten zwrócono uwagę w artykule opublikowanym na portalu Bleepingcomputer przez jego szefa Lawrence'a Abramsa pt. "New ransomware vaccine kills programs wiping Windows shadow volumes". Poza omówieniem roli tego mechanizmu i konieczności jego ochrony przedstawiono tam także niewielki program do tego celu pod nazwą Raccine. Zadaniem programu jest monitorowanie procesów zarządzających tą usługą - vssadmin i vssadmin resize shadowstorage - i sprawdzanie czy jakiś uruchomiony proces przypadkiem nie chce usunąć kopii. Jeśli tak, to taki proces zostaje zakończony.
![[Obrazek: screen4.png]](https://raw.githubusercontent.com/Neo23x0/Raccine/main/images/screen4.png)
Program został również opisany w krótkim artykule na DP
Podobnie prosty i nieco ubogi w funkcje jest inny projekt z GitHuba o nazwie ProtectVSS z tym, że w przeciwieństwie do Raccine umożliwia zamknięcie również każdego procesu macierzystego, który chce wywołać VSS.
Wydaje się, że najbardziej rozbudowany i wszechstronny w tym zakresie jest aplikacja pod nazwą ShadowGuard...pamiętacie program
CryptoPrevent powstał bowiem na bazie pewnych wskazówek i trików utwardzających system, które opublikował właśnie szef BC. Ale wracając do ShadowGuard - oferowaną przez niego ochronę można opisać w ten sposób:
- chroni system kopii przed uruchomieniem (przez niepowołaną aplikację)
- blokuje/zatrzymuje nieuprawniony do tego proces
- nadzoruje/filtruje działanie 3 procesów: vssadmin.exe, wmic.exe, powershell.exe
- pozwala na wybór, który z nich będzie chroniony
- daje możliwość stworzenia listy procesów wiarygodnych, które nie będą zamykane przez SG.
Poniższe screeny są moje własne
Program jest darmowy, oficjalnie obsługuje tylko Win10, choć autor informuje, że powinien działać nawet na XP
Strona programu
[Aby zobaczyć linki, zarejestruj się tutaj]
(znanych również jako Volume Snapshot Service, Volume Shadow Copy Service lub VSS). Systemowy backup z oczywistych względów jest jedną z najbardziej popularnych i narzucających się automatycznie metod naprawy systemu po atakach szkodników różnej maści, dlatego też wyeliminowanie go z gry pozwala atakującym wciąż mieć kontrolę nad przejętą/zainfekowaną maszyną.Na problem ten zwrócono uwagę w artykule opublikowanym na portalu Bleepingcomputer przez jego szefa Lawrence'a Abramsa pt. "New ransomware vaccine kills programs wiping Windows shadow volumes". Poza omówieniem roli tego mechanizmu i konieczności jego ochrony przedstawiono tam także niewielki program do tego celu pod nazwą Raccine. Zadaniem programu jest monitorowanie procesów zarządzających tą usługą - vssadmin i vssadmin resize shadowstorage - i sprawdzanie czy jakiś uruchomiony proces przypadkiem nie chce usunąć kopii. Jeśli tak, to taki proces zostaje zakończony.
Cytat:Raccine works by registering the raccine.exe executable as a debugger for vssadmin.exe using the Image File Execution Options Windows registry key.Źródło cytatu
Once raccine.exe is registered as a debugger, every time vssadmin.exe is executed, it will also launch Raccine, which will check to see if vssadmin is trying to delete shadow copies.
If it detects a process is using 'vssadmin delete' or 'vssadmin resize shadowstorage' it will automatically terminate the process, which is usually done before ransomware begins encrypting files on a computer.
[Aby zobaczyć linki, zarejestruj się tutaj]
Raccine ma swoją stronę na GitHubie (stamtąd też ilustracja)[Aby zobaczyć linki, zarejestruj się tutaj]
Program został również opisany w krótkim artykule na DP
[Aby zobaczyć linki, zarejestruj się tutaj]
ma również swój wątek na Malwaretips, gdzie został poddany niestety krytyce za zbyt ubogi mechanizm, który oferuje[Aby zobaczyć linki, zarejestruj się tutaj]
Podobnie prosty i nieco ubogi w funkcje jest inny projekt z GitHuba o nazwie ProtectVSS z tym, że w przeciwieństwie do Raccine umożliwia zamknięcie również każdego procesu macierzystego, który chce wywołać VSS.
[Aby zobaczyć linki, zarejestruj się tutaj]
Wydaje się, że najbardziej rozbudowany i wszechstronny w tym zakresie jest aplikacja pod nazwą ShadowGuard...pamiętacie program
[Aby zobaczyć linki, zarejestruj się tutaj]
? No właśnie - autorem obydwu jest ta sama osoba i już kilka lat temu zwracała uwagę na możliwość ochrony VSS publikując ten artykuł[Aby zobaczyć linki, zarejestruj się tutaj]
Żeby było ciekawiej ten projekt i wymieniony wcześniej Raccine łączy Lawrence Abrams CryptoPrevent powstał bowiem na bazie pewnych wskazówek i trików utwardzających system, które opublikował właśnie szef BC. Ale wracając do ShadowGuard - oferowaną przez niego ochronę można opisać w ten sposób:- chroni system kopii przed uruchomieniem (przez niepowołaną aplikację)
- blokuje/zatrzymuje nieuprawniony do tego proces
- nadzoruje/filtruje działanie 3 procesów: vssadmin.exe, wmic.exe, powershell.exe
- pozwala na wybór, który z nich będzie chroniony
- daje możliwość stworzenia listy procesów wiarygodnych, które nie będą zamykane przez SG.
Poniższe screeny są moje własne
Program jest darmowy, oficjalnie obsługuje tylko Win10, choć autor informuje, że powinien działać nawet na XP
Strona programu
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"