Een ransomware-aanval is niet een simpele infectie via malware. Het is een complexe reeks van activiteiten waarbij de initiële infectie slechts de eerste stap is. Bij een succesvolle ransomware-aanval zijn meestal verschillende aanvalsvectoren betrokken, vaak aangestuurd door menselijke tussenkomst. Om een ransomware-aanval tegen te gaan, is een oplossing vereist die alle dreigingen van deze vectoren kan neutraliseren.
Microsoft bracht recentelijk een gedetailleerd rapport uit met beschrijvingen van complexe, menselijk aangestuurde ransomware-varianten. Enkele kenmerkende eigenschappen:
De eerste fase bestaat uit eenvoudige malware-vormen die weliswaar voor waarschuwingen zorgen, maar in het algemeen als onbelangrijk worden beoordeeld en dus blijft grondige analyse achterwege. Verschillende varianten worden uitgeprobeerd, totdat er eentje niet door antivirus-software wordt opgemerkt. De aanvallen worden uitgevoerd op servers die remote desktop protocol (rdp) open naar het internet hebben geconfigureerd, waarbij via brute force toegang wordt verkregen tot het netwerk.
Eenmaal binnen, houden de criminelen het netwerk sterk in de gaten. Via andere tools worden credentials buitgemaakt om zo toegangsrechten met privileges te verkrijgen. Daarmee worden antivirus-software en andere services uitgeschakeld zodat ze onopgemerkt verder kunnen gaan. Andere tools zorgen voor het behoud van de malware en het wissen van logs. Vervolgens worden PowerShell-scripts uitgevoerd verbonden met een command en control server, waardoor permanente controle over andere machines mogelijk is. Door Exchang-server, SQL-server en vergelijkbare services te stoppen, wordt voorkomen dat bestanden worden vergrendeld. Door legitieme binairies te starten en ‘alternate data streams’ te gebruiken wordt de uitvoering van de ransomware vermomd als legitieme code.
Veelvoorkomende ransomware
Het doel van iedere ransomware-aanval is uiteraard zo hoog mogelijk in de boom terechtkomen, ofwel toegangsrechten met veel privileges. Onderweg worden online backup-systemen uitgeschakeld of versleuteld, zodat slachtoffers niet gemakkelijk data kunnen herstellen. De laatste tijd wordt ook gevoelige data buitgemaakt met als dreiging deze openbaar te maken; het zorgt voor extra druk op de slachtoffers om het losgeld te betalen. Daarnaast zien we steeds vaker polymorfische varianten of code die zichzelf voortdurend verandert om detectie te voorkomen, en het gebruik van fileless strategieën om machines te infecteren zonder de plaatsing of installatie van bestanden. In sommige gevallen zien we de toepassing van kunstmatige intelligentie om menselijk handelen over te nemen zoals netwerkverkenning en het opschalen van de aanvallen.
Antivirus-systemen zijn op signatures gebaseerd en, zoals hierboven al doet vermoeden, schiet die verdediging tekort om deze grote verscheidenheid aan potentiële aanvalsvectoren af te weren. Het National Institute of Standards and Technologies (NIST) beschrijft de beperkingen van op signature-based detectiesystemen als volgt: ‘Signature-based detectie is effectief bij het detecteren van bekende bedreigingen, maar is grotendeels niet effectief bij het detecteren van voorheen onbekende bedreigingen, bedreigingen vermomd met behulp van ontwijkingstechnieken en vele varianten van bekende bedreigingen. Als een aanvaller bijvoorbeeld de malware aanpast om de bestandsnaam ‘freepics2.exe’ te gebruiken, komt een op signatures gebaseerde verdediging die zoekt naar ‘freepics.exe’ niet overeen.’
Signature-based detectie is de eenvoudigste detectiemethode omdat het alleen de huidige activiteit, zoals een packet of log entry, vergelijkt met een lijst van signatures met behulp van string comparisons. Signature-based detectie heeft weinig kennis van netwerk- of applicatieprotocollen en kan de status van complexe communicatie niet volgen en begrijpen. Het mist ook de mogelijkheid om eerdere requests te onthouden bij het verwerken van het huidige request. Deze beperking voorkomt dat signature-based detectie aanvallen kunnen detecteren die meerdere events bevatten als geen van die events een duidelijke indicatie van een aanval bevat.
Epp de volgende stap
De securitymarkt zit niet stil en heeft hier uiteraard een oplossing voor. In eerste instantie een endpoint protection platform (epp). Een epp is een set softwaretools en -technologieën waarmee endpoints kunnen worden beveiligd. Het is een uniforme beveiligingsoplossing die antivirus, antispyware, detectie, preventie, personal firewall en andere endpoint security tools combineert. Hoewel sommige epp-oplossingen threat intelligence en data analytics bevatten, missen ze soms mogelijkheden zoals het analyseren van geheugen, waardoor aanvallen op memory residents, of bestaande binaries en functionaliteit in het besturingssysteem (zoals Powershell) ongezien blijven. Deze living-off-the-land kapen functies van het besturingssysteem en wil je dus wel kunnen zien.
Een epp is een belangrijke stap in de goede richting, aangezien een goed geïmplementeerde variant een defensieve perimeter rond de organisatie opzet en daarmee alle toegangskanalen op endpoints afschermt. Zelfs één onbewaakt entry point kan immers al voldoende zijn voor een succesvolle ransomware-aanval.
Het nadeel van een epp is de mogelijke gigantische hoeveelheid aan data die door de endpoints wordt gegenereerd en moet worden geanalyseerd om alle mogelijke hits die signature-based systemen nog altijd uitlichten te detecteren. En dan gaan we er vanuit dat de malware inderdaad kan worden gedetecteerd door het signature-based systeem, dat er geen constant evoluerende polymorfische malware is, en dat de malware wordt geïdentificeerd door de signatures die bekend zijn. Bovendien geldt: als het bedrijf groeit, neemt de omvang van de gegenereerde gegevens exponentieel toe.
Weer een stap verder: edr
Belangrijker nog, zoals in het statement van NIST hierboven, een signature-based systeem gaat nooit de context van een aanval kunnen begrijpen en een waarschuwing te geven zodra zich een patroon voordoet, zoals herhaalde inlogpogingen, vooral bij meerdere endpoints wat zou duiden op een brute force aanval. Het is afhankelijk van de mate van threat intelligence en data analytics in hoeverre een epp dergelijke aanvallen kan detecteren. Nu aanvallen geavanceerder worden, kan de manier waarop de analytische functionaliteit is vormgegeven een probleem worden. In 2007 berekende de Universiteit van Maryland al dat er elke 39 seconden een aanval plaatsvindt. Dat is dertien jaar geleden! Dat volume is zonder twijfel gestegen. Cloud-gebaseerde oplossingen en software met een centrale database lopen simpelweg tegen vertragingen aan en zijn te laat met waarschuwen.
Edr-technologie (endpoint detection en response) voegt data analytics en threat intelligence samen en kan reageren op de dreiging door het kwaadaardige proces plat te leggen of in quarantaine te plaatsen. De meest effectieve en geavanceerde oplossingen zijn actieve edr-oplossingen, die kunstmatige intelligentie en machine learning (ai/ml) integreren in gedragsanalyse van systeemactiviteit. Deze oplossingen passen data analytics toe op het endpoint met geavanceerde methoden voor het in realtime toepassen van data science op het endpoint, met minimale impact op performance. Een ander voordeel van actieve edr is autonome respons – het vermogen om op machinesnelheid op bedreigingen te reageren. Door het gebruik van ai kan actieve edr reageren op een ransomware-aanval voordat die malware gegevens kan versleutelen – de edr helpt op die manier het security-team realtime in te grijpen.
Door te concentreren op gedrag in plaats van overeenkomsten met kenmerken (signatures), kan actieve edr patronen detecteren die afwijken van de baseline van het systeem, hetzij van nieuwe (of geëvolueerde) varianten, of activiteiten die binnen het netwerk plaatsvinden en haaks staan op de normale gang van zaken. Processen die verdachte activiteiten aangeven, kunnen worden platgelegd of geïsoleerd voordat ze zich kunnen verspreiden. Bovendien automatiseert actieve edr ook de analyse van de activiteit om context te bieden aan het security-team. Hierdoor wordt de normale hoeveelheid data van een epp-oplossing dus enorm verminderd. De context vermindert de hoeveelheid tijd die nodig is voor menselijke analyse, waardoor ze alle bijzonderheden makkelijker kunnen bijhouden of waardevolle medewerkers inzetten op meer interessante en strategische taken. Bij ransomware-incidenten slaagt edr erin om de schade in te perken, malware te neutraliseren en versleutelde systemen te herstellen.
