Ochrona VSS jako jeden z kluczowych elementów ochrony przed ransomware
#1
ŹródłoRansomware to typ szkodników, które nie tylko stają się coraz bardziej popularne, ale znane są również z tego, że w ostatnich latach wprowadziły wiele "innowacyjnych" metod i technologii, których zadaniem jest jeszcze bardziej uprzykrzyć nasze życie jako użytkowników. Wiadomo, że potrafią wyszukiwać silniki zainstalowanych AV, wykrywać środowiska izolowane jak piaskownice czy mechanizmy wirtualizacji służące często do analizy szkodliwych zachowań. Okazuje się jednak, że niemal powszechnym i bardzo skutecznym działaniem ransomów jest ingerowanie w systemową technologię obsługi kopii/migawek systemowych czyli

[Aby zobaczyć linki, zarejestruj się tutaj]

(znanych również jako Volume Snapshot Service, Volume Shadow Copy Service lub VSS). Systemowy backup z oczywistych względów jest jedną z najbardziej popularnych i narzucających się automatycznie metod naprawy systemu po atakach szkodników różnej maści, dlatego też wyeliminowanie go z gry pozwala atakującym wciąż mieć kontrolę nad przejętą/zainfekowaną maszyną.
Na problem ten zwrócono uwagę w artykule opublikowanym na portalu Bleepingcomputer przez jego szefa Lawrence'a Abramsa pt. "New ransomware vaccine kills programs wiping Windows shadow volumes". Poza omówieniem roli tego mechanizmu i konieczności jego ochrony przedstawiono tam także niewielki program do tego celu pod nazwą Raccine. Zadaniem programu jest monitorowanie procesów zarządzających tą usługą - vssadmin i vssadmin resize shadowstorage - i sprawdzanie czy jakiś uruchomiony proces przypadkiem nie chce usunąć kopii. Jeśli tak, to taki proces zostaje zakończony.
Cytat:Raccine works by registering the raccine.exe executable as a debugger for vssadmin.exe using the Image File Execution Options Windows registry key.
Once raccine.exe is registered as a debugger, every time vssadmin.exe is executed, it will also launch Raccine, which will check to see if vssadmin is trying to delete shadow copies.
If it detects a process is using 'vssadmin delete' or 'vssadmin resize shadowstorage' it will automatically terminate the process, which is usually done before ransomware begins encrypting files on a computer.
Źródło cytatu 

[Aby zobaczyć linki, zarejestruj się tutaj]

Raccine ma swoją stronę na GitHubie (stamtąd też ilustracja)
[Obrazek: screen4.png]

[Aby zobaczyć linki, zarejestruj się tutaj]


Program został również opisany w krótkim artykule na DP

[Aby zobaczyć linki, zarejestruj się tutaj]

ma również swój wątek na Malwaretips, gdzie został poddany niestety krytyce za zbyt ubogi mechanizm, który oferuje

[Aby zobaczyć linki, zarejestruj się tutaj]


Podobnie prosty i nieco ubogi w funkcje jest inny projekt z GitHuba o nazwie ProtectVSS z tym, że w przeciwieństwie do Raccine umożliwia zamknięcie również każdego procesu macierzystego, który chce wywołać VSS.

[Aby zobaczyć linki, zarejestruj się tutaj]


Wydaje się, że najbardziej rozbudowany i wszechstronny w tym zakresie jest aplikacja pod nazwą ShadowGuard...pamiętacie program

[Aby zobaczyć linki, zarejestruj się tutaj]

? No właśnie - autorem obydwu jest ta sama osoba i już kilka lat temu zwracała uwagę na możliwość ochrony VSS publikując ten artykuł

[Aby zobaczyć linki, zarejestruj się tutaj]

Żeby było ciekawiej ten projekt i wymieniony wcześniej Raccine łączy Lawrence Abrams Smile CryptoPrevent powstał bowiem na bazie pewnych wskazówek i trików utwardzających system, które opublikował właśnie szef BC. Ale wracając do ShadowGuard - oferowaną przez niego ochronę można opisać w ten sposób:
- chroni system kopii przed uruchomieniem (przez niepowołaną aplikację)
- blokuje/zatrzymuje nieuprawniony do tego proces
- nadzoruje/filtruje działanie 3 procesów: vssadmin.exe, wmic.exe, powershell.exe
- pozwala na wybór, który z nich będzie chroniony
- daje możliwość stworzenia listy procesów wiarygodnych, które nie będą zamykane przez SG.
Poniższe screeny są moje własne

   
   

Program jest darmowy, oficjalnie obsługuje tylko Win10, choć autor informuje, że powinien działać nawet na XP
Strona programu

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Wystarczy dodać w Spyshelter jako nie zaufane na te procesy i też będzie pod nadzorem Smile

Ludzie próbują na nowo odkryć HIPS'a czy co?! Nie rozumiem tej ideologi co się dzieje.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
To prawda...HIPS w tym SS powinien bez problemów wykryć taką akcję. Co do odkrywania na nowo - tu masz po prostu ochronę wybranych procesów, które odgrywają rolę w działaniach szkodnika, a to tylko wycinek działania pod konkretne zachowania. Użytkownik niekoniecznie chce obarczać się nadzorem nad innymi rzeczami.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Po instalacji blokuje uruchamianie powershela - nawet jako admin. A trochę używam.
Mogę tylko uruchomic jako ISE
Nie mogę nawet uruchomić komendy - tylko dla bierzącej akcji.
Dla mnie to do kitu.
Za mało wykształcony jestem.

Na szczęście używam Shadow Defender.
Odpowiedz
#5
Możę jak w appguard sam musisz utorzyć listy zaufanych aplikacji i dozwolonych procesów dla powershella.

Takie programy to zwykle ręczne ustawienia to nie automaty typu antywirus.. kilk i wszystko samo sie dzieje.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#6
(28.10.2020, 14:26)zbigniew59 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Po instalacji blokuje uruchamianie powershela - nawet jako admin. A trochę używam.
Mogę tylko uruchomic jako ISE
Nie mogę nawet uruchomić komendy - tylko dla bierzącej akcji.
Dla mnie to do kitu.
Za mało wykształcony jestem.

Na szczęście używam Shadow Defender.
Świetnie, że masz i używasz SD Smile A tak w ogóle, to o którą z trzech aplikacji Ci chodzi, bo wydaje mi się, że ShadowGuard nie powinien robić tanich problemów.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#7
Nic w sumie odkrywczego. Takie działania poszczególnych ransomware są znane od dość dawna, nie raz pokazywałem np.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#8
Masz rację, że to nic nowego, ale ostatnie zainteresowanie wynika pewnie z tego, że co najmniej 3/4 wszystkich ataków teraz wykazuje ten mechanizm. Stąd pewnie i dedykowane narzędzia teraz tak, jak kiedyś były honeypoty czy ochrona folderów.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#9
Zainstalowałem metodą next-next-next
Zaznaczyłem wszystkie 3 opcje ochory - to tyle?

ShadowGuard
Odpowiedz
#10
Z opisu wygląda, że bezobsługowy - zaznaczasz, co potrzebujesz i to wszystko

Cytat:How to use it:
  1. Download/Install/Run the program.
  2. Put a check in the box for each file you wish to guard to enable that feature.  Remove the check to disable.
  3. Close the program, it does not need to be running to operate.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości