Evitar ataques de ransomware detectando níveis suspeitos de atividade do sistema de arquivos

1

Assuma um sistema de home / small office do Windows 8/10 com 3-4 usuários e alguns TB de compartilhamento de arquivos (digamos 6TB em um RAID adequado). A maioria dos arquivos é estática, mas às vezes os arquivos são movidos ou modificados. Mas se a sobreposição / exclusão começar a acontecer em uma taxa muito grande (número de arquivos / taxa sustentada), isso pode ser um sinal de atividade maliciosa e um evento deve ser acionado para alertar um usuário ou responder a ele.

Se foi devido a um estilo de ataque de ransomlocker, e o modding de arquivo pode ser detectado e parado nos primeiros 30 minutos, as probabilidades são razoavelmente boas de que qualquer dano seja localizado ou outros backups possam existir para o mesmo / dados semelhantes, para que possam ser vividos. (Minha razão para essa visão é que leva de 10 a 20 horas apenas para transmitir uma unidade de 4 TB para copiar localmente; criptografar um RAID de 6 TB será muito mais lento devido à leitura / gravação constante das unidades de origem)

O problema é que as ACLs de arquivos não são destinadas a mais do que um binário "permissão ilimitada" / "permissão zero". Isso não funciona para outros problemas de malware (anexos / downloads ruins etc) e não ajuda aqui. Eu gostaria de algum tipo de "verificação de sanidade" contínua sobre quanto e que tipo de atividade está sendo feita com esse acesso. Mas também não quero atrasar a manipulação de arquivos quando é legítimo, a menos que o acesso suspeito real seja detectado.

Quais tipos de técnicas podem ser usadas para que um processo mal-intencionado seja executado no dispositivo ou na LAN e inicie um ciclo de alta velocidade "read-modify-overwrite" ou "read-savenewfile-deleteoriginal" em um dispositivo, a atividade de arquivo resultante poderia ser alertada por esse dispositivo como suspeita?

Assim, o alvo da detecção é a agitação insana da atividade de arquivos que um ataque do tipo ransomlocker iniciaria. Seria muito difícil de esconder, sustentado e muito distinto / anormal. Deve fazer o estilo ransomlocker atacar o mais fácil de evitar. Mas como alguém iria procurar por isso?

Atualização:

Desculpe por qualquer erro de digitação. Eu eliminei o texto que levou a isso, como sendo uma distração - eu pensei que seria hepful. Mas os aspectos técnicos da ACL realmente estão fora do assunto aqui. O problema / questão não é "você pode bloquear a estrutura do sistema de arquivos para evitar problemas de ransomware", mesmo que você possa fazer isso.

A questão está mais próxima disso: "Você tem um grande sistema de arquivos baseado em Windows, mas as permissões não podem ou não serão bloqueadas ( por qualquer motivo, se algumas podem concordar ou não discorda ). Em teoria, um ataque de ransomblocker levaria muitas horas e geraria uma atividade de sistema de arquivos inconcebível e extremamente distinta que, se notada, certamente teria o potencial de permitir uma ação efetiva antes que o dano se tornasse extremo. É indiscutível que um dano tão grande pode ser evitado pela detecção e alerta desse comportamento anormal do sistema de arquivos, mesmo se o malware não for detectado.Questão: Se essa detecção fosse desejável, que métodos / ferramentas / técnicas podem ser usados para detectar o tipo de atividade envolvido? "

    
por Stilez 07.04.2016 / 18:54

0 respostas