Schutz vor Ransomware – Ein Leitfaden in vier Teilen, Teil 3 Ransomware hat zugeschlagen – was kann man nun noch tun?
24. März 2016In den beiden ersten Teilen dieses Leitfadens wurde diskutiert, ob man ein gefordertes Lösegeld bezahlen oder lieber nicht zahlen sollte, und was Bitcoins damit zu tun haben. Um besser zu verstehen, wie Ransomware funktioniert, wurden im zweiten Teil die verschiedenen Typen vorgestellt und welche Arten von Verschlüsselung sie benutzen. Doch wenn der „Malware-Befall“ bereits passiert ist, stehen auch noch einige andere technische Optionen offen. Die kommen in diesem dritten Teil zur Sprache.
Die Infektion ist da
Die weitaus meisten Benutzer bemerken die Infektion erst in dem Moment, wenn auf dem Bildschirm einer der berüchtigten Nachrichten erscheint, dass Dateien verschlüsselt worden sind. Wer feststellt, dass sein Computer infiziert worden ist, sollte ihn herunterfahren oder zumindest ihn vom Netzwerk trennen. Wenn sich der Betroffene entscheidet, nicht zu zahlen, sollte er den (oder die) betroffenen Rechner zunächst mit einer Anti-Viren- und Anti-Malware-Lösung scannen und dabei alle verdächtigen Dateien entfernen.
Möglicherweise lassen sich die verschlüsselten Dateien mit Hilfe der PowerShell oder anderer Tools identifizieren. Allerdings tauchen praktisch jede Woche neue Varianten auf und so gibt es leider kein Patentrezept, um die verschlüsselten Dateien zu finden und gegebenenfalls wieder zu entschlüsseln. Die meisten Experten empfehlen es deshalb die Dateien vom Backup aus wiederherzustellen.
Auch wenn man sich entschlossen hat, das geforderte Lösegeld zu zahlen, sollte man es nicht vergessen, den Computer zu scannen und sicherzustellen, dass sämtliche Schadsoftware entfernt wurde. Es gibt zudem einige Methoden, um den Schaden wenigstens zu begrenzen.
Schadensbegrenzung
Ein wichtiger Aspekt bei der Schadensbegrenzung ist das Überwachen der Dateiaktivitäten. Nachdem die Forscher Northeastern University 1.359 Fälle von Ransomware unter die Lupe genommen hatten, stellten sie fest, dass es durchaus möglich gewesen wäre eine erhebliche Zahl dieser Angriffe zu stoppen. Sogar dann, wenn es sich um Ransomware handelt, die Verschlüsselung und Datenlöschung nutzt.
Wird ein System von einer Ransomware angegriffen, äußert sich das unter anderem in signifikanten Veränderungen, die im Filesystem sichtbar sind, zum Beispiel eine große Zahl von Löschungen in den Log-Dateien. Es hilft also, die Dateiaktivitäten kontinuierlich zu überwachen. Beobachtet die jeweilige Software ein ungewöhnliches, von einem als normal definierten Verhalten abweichendes, sollte sie eine entsprechende Benachrichtigung versenden. Mit dieser Methode ist es möglich festzustellen, wenn Dateien erstellt, verschlüsselt oder gelöscht werden.
Die Analyse des Benutzerverhaltens (User Behavior Analytics, UBA) ist zu einer der Methoden avanciert, mit denen sich Ransomware bekämpfen lässt. Bedrohungen von innen, die durch legitime und legitimierte Benutzer verursacht werden, sind naturgemäß nicht Sache der Perimeter-Sicherheit. Für Hacker ist es in vielen Fällen kein allzu großes Problem diese Sicherheitsmaßnahmen zu umgehen und ins Innere des Netzwerks zu gelangen. Dazu nutzen die Angreifer legitime öffentliche Zugänge (E-Mail, Web, Logins) um dann intern als „legitime“ Nutzer auf Dateien und Systeme zuzugreifen.
Ransomware-Attacken sind in den allermeisten Fällen so konzipiert, dass Antiviren-Software sie nicht erkennt. Für den Administrator, der die Systemaktivitäten überwacht, sieht der Angreifer aus wie ein ganz gewöhnlicher User. Und genau an dieser Stelle setzt die UBA an. Sie befasst sich sozusagen, mit dem, was man noch nicht weiß. Innerhalb der UBA-Engine werden Grenzwerte für ein als normal definiertes Verhalten hinterlegt. Weicht das Verhalten von diesen „Normalwerten“ ab, wird sofort eine Benachrichtigung versendet und ein entsprechender Bericht generiert. So kann ein Admin beispielsweise festlegen, dass er bei mehr als 1.000 innerhalb eines kurzen Zeitfensters auftretenden Dateiänderungen benachrichtigt wird.
Honeypots
Ein weiteres Tool ist der Einsatz von Honeypots. Unter Umständen verschlüsseln Cyberkriminelle nicht sämtliche Dateien, sondern nur diejenigen, auf die der Nutzer zuletzt zugegriffen hat. Wer einen Köder mit falschen Dateien und Ordnern auslegt, und diesen Honeypot regelmäßig überwacht, kann verdächtige Entwicklungen bemerken. Diese Methode eignet sich auch für Firmen, die ihre Dateiaktivitäten bisher noch nicht automatisch überwachen. Unter Umständen bedeutet das, das native File Auditing innerhalb des Systems zu aktivieren. Um Fehleinschätzungen zu verhindern, sollte man in jedem Falle sensible Bereiche priorisieren und einen Fileshare-Honeypot anlegen.
Dieser Honigtopf enthält Dateien, die von außen betrachtet als lohnenswertes Ziel erscheinen. In Wirklichkeit handelt es sich um falsche Dateien, die lediglich als Köder dienen. Da sich hier keine „normalen“ Benutzer bewegen, weist jede beobachtete Aktivität auf einen potenziellen Angriff hin. Sollten manuelle Methoden nicht ausreichen, muss das native Auditing aktiviert werden, um die Zugriffsaktivitäten aufzuzeichnen. Über ein entsprechendes Skript sollte der Admin immer dann benachrichtigt werden, wenn im Security Event Log ein Ereignis eingeschrieben wird (z.B. dumpel.exe).
Das Modell der minimalen Rechtevergabe ist ebenfalls geeignet, um Schadensbegrenzung zu betreiben. Bei diesem Ansatz geht es darum, die Daten besser zu kontrollieren und dabei die „minimale Rechtevergabe“ umzusetzen. Um unter Umständen vertrauliche Daten besser zu schützen, sollte man in jedem Fall überflüssige Gruppen mit globalen Zugriffsrechten aus den entsprechenden Listen entfernen. Wenn Gruppen wie „Alle/Jeder“, „Authenticated Users” und „Domain Users” als Datencontainer benutzt werden, setzen sie unter Umständen die komplette Benutzerhierarchie einem erhöhten Risiko aus.
Darüber hinaus bilden solche Ordner ein leicht zu identifizierendes Ziel für Datendiebstahl und Missbrauch. Und nicht zuletzt fallen solcherart exponierte Daten bevorzugt einem Malware-Angriff zum Opfer oder werden beschädigt. Auf einem Fileserver sind die entsprechenden Ordner die „open shares“. In einem solchem Fall sind sowohl das Dateisystem als auch die geteilten Zugriffsrechte über eine Gruppe mit globalen Zugriffsrechten erreichbar.
David Lin
ist Sicherheitsexperte bei Varonis.
Quellenangaben:
www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2015.pdf
seclab.ccs.neu.edu/static/publications/dimva2015ransomware.pdf
www.ic3.gov/media/2015/150623.aspx
www.detroitnews.com/story/news/politics/michigan/2014/11/17/north-american-international-cyber-summit/19162001/
www.nbcnews.com/nightly-news/security-experts-you-should-never-pay-ransomware-hackers-n299511
www.wsj.com/articles/paying-ransoms-to-hackers-stirs-debate-1447106376
https://www.cs.kent.ac.uk/news/?view=338
www.ibtimes.co.uk/cryptolocker-criminals-earn-30-million-100-days-1429607
searchsecurity.techtarget.com/definition/elliptical-curve-cryptography
www.anti-spyware-101.com/remove-filecoder-ransomware