Vakcina za ransomware
#1
Wink 
Jos jedan od mozda zanimljivih alata koji je radjen sa Florian Rothom (@cyb3rops na Twiteru) i par ljudi iz Microsoft Threat Inteligence tima. Moj contribution je bio dodatak powershella i parsovanje svih komandi koje idu preko njega radi detekcije i kasnije inkorporacija toga u Yara rulove.

Poenta ovog alata je da spreci bilo kakvu aktivnost ransomware-a, koji je dospeo u sistem korisnika recimo putem makroa u MS Word-u, tako sto interceptuje requestove u pozadini ka necemu sto ransomware uvek radi, a to je brisanje shadow copy-ja sa diska, i ubija parent proces. Vrlo je generic i lightweight. Tada je Emotet ransomware bio jako aktivan, gde se alat pokazao vrlo efikasan.

Zanimljivo je sto je sam alat nastao iz CVE-a https://attack.mitre.org/techniques/T1546/012/ i mogucnosti da se debugger na Windowsu zakaci na recimo vssadmin i wmic. Takodje, integrisan je i sa Windows Event Viewerom.

Alat je open-source i gradjen je javno pred svima i svako je mogao da ucestvuje. Power of the community Smile

Link do projekta:
https://github.com/Neo23x0/Raccine
“One of the symptoms of approaching nervous breakdown is the belief that one's work is terribly important"
Reply
#2
Bra'o za projekat! samo moram malo da "rusim sneska" Big Grin
Ovo sto si napisao je sve na mestu, samo to je gasenje pozara tankim crevom (po meni), ako me razumes... ova odbrana je samo za specificne tipove virusa, bas za funkciije koje si napisao.
Tako sam ja jednim reg key-em onesposobio Tesla ransomware (v1 i v2) (bukvalno sam gledao sta poziva i video da proverava jel postoji ESET key u registry-u), al` v3 je vec drugacije radila...

No. sto se tice ransom-a i generalno malicioznih aktivnosti na sistemima, imam sugestiju da istrazis u pravcu TEE i jednog resenja koje koristi tu tech.

Doduse, TEE zahteva temu za sebe, ovih dana cu da je otvorim, to je da kazemo next big thing u security-u a vecina ce biti mindblown (barem meni bio) kad saznaju da u svakom procesoru postoji jos jedan i u njemu mini operativni sistem Big Grin
Reply
#3
Hahah, apsolutno se slazem! Ovo je radjeno 2020-2021 kada je Emotet bas harao po korporacijama, a bila je dobra vezba i prilika za contribution.
“One of the symptoms of approaching nervous breakdown is the belief that one's work is terribly important"
Reply
#4
na jednoj sec. conf. bilo predstavljanje nekog resenja (da ne pisem koji proizvod i conf. u pitanju - domaca uglavnom) za koje tvrde da ransomweri ne mogu nista (na kraju resenje se oslanja na shadow copy) i na pitanje a sta ako korisnik ima admin prava i ransom prvo sto uradi izbrise shadow, odgovor bio, mi nismo odgovorni za user managmentu-u, u prevodu, nema admina, "nema problema" xD hahah
Reply
#5
To je ono resenje tipa just disable macros Big Grin
“One of the symptoms of approaching nervous breakdown is the belief that one's work is terribly important"
Reply
#6
(10-12-2022, 09:45 AM)bane Wrote: Hahah, apsolutno se slazem! Ovo je radjeno 2020-2021 kada je Emotet bas harao po korporacijama, a bila je dobra vezba i prilika za contribution.

Verujem da ovo vec svi znate, ali kad se pominje Emotet ima Emocheck alat open-source od Japanskog CERT-a na Github-u.

Mozda nebi bila losa ideja da se napravi na forumu odeljak za analizu raznih virusa, malware-a, ransomware-a i kako otkriti i zastititi se od istih. Nesto u fazonu kako se koji novi pojavi i neko nesto nadje ili sazna o njemu da podelimo ovde.

Ja sam jedno vreme pratio Reddit za takve konverzacije ali useri poput "[deleted]" koji posle nekog vremena brisu svoje ili im neko brise komentare za koje sam video da su veoma korisni.

Misljenja sam da je ovo dobra praksa jer kao community mozemo pomoci kolegama koje se mozda ne sanlaze dobro u kriticnim situacijama sa korisnim savetima.
Reply
#7
Odlična ideja, otvoren je novi pod-forum: https://bezbedanbalkan.net/forum-31.html.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#8
Evo jos nekih peimera iz prakse za situaciju kada je rans vec prosao.

1. Izolujte masinu sa mreze. Ako ste kucni ili SOHO korisnik verovatno su na istoj mrezi I drugi tacunari, IoT, peinteri, skeneri, NAS, NVR/IP camere,.. Koji mogu biti ugrozeni.

2. Ugasite racunar sto pre. Vecini ransomware vairusa treba neko vreme da sifruju sve fajlove koje targetiraju ili ceo disk.
Ako ugasite racunar dok nije sve sifrovano postoji sansa da su neki podaci spaseni, I moze I'm se prostupiti sa drugog (razlicitog Sistema, obicno Linux).

3. Identifikacija ransomware vairusa. https://id-ransomware.malwarehunterteam.com/ je online servis na Koji mozete otpremiti uzorak (ransom note + sample) za identifikaciju kako bi u sledecem koraku lakse istrazili da li je isto moguce ukloniti. Ransomware se najcesce moze identifikovati I samo po ekstenziji zakljucanog fajla.

4. Istraga I otkljucavanje. https://www.nomoreransom.org/en/index.html je sajt na kome mozete pronaci sve dekriptore ransomware-a do sada Koji su provaljeni.
Ako se vas ne nalazi tu, najbolja opcija je da sacekate, tj. da odlozite taj disk dok se ne pojavi dekriptore za isti.
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)