Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Detectie van ransomware – stap 6: deceptie gebaseerde detectie

Bedrading computer
Kennisbank

Dit artikel is het zesde artikel uit een serie blogs genaamd “8 stappen die helpen om ransomware te detecteren”. Deze 8 stappen moeten er voor zorgen dat de zichtbaarheid op uw netwerk en endpoints toeneemt en er een effectief incident response proces uitgevoerd kan worden.

Deceptie gebaseerde detectie

Er is een detectiestrategie die “deception-based detection” wordt genoemd. Hierbij gaat het erom dat u bewust devices inricht met als doel dat zij door hackers worden aangevallen. Deze computers worden honeypots genoemd. Op het moment dat hackers uw honeypot aanvallen, zijn ze er onnodig veel tijd aan kwijt. Daarnaast wordt het voor u duidelijk dat hackers actief zijn en wordt informatie verkregen over modus operandi van de aanvallers en de fase waarin de aanval zich bevindt. Het grote voordeel is dat bij deze honeypots de frequentie false positives laag ligt (Genç, 2019).

Ook zijn er behalve de gebruikelijke kosten voor een server geen verdere kosten verbonden aan een honeypot (tenzij u een commerciële variant kiest). Er hoeven dus geen grote investeringen gedaan te worden. Het is één van de oplossingen met de meeste “bang for your buck”.

In de context van doelgerichte aanvallen met ransomware kunnen honeypots gebruikt worden voor bijvoorbeeld:

  1. Detectie van scanactiviteiten van hackers
  2. Detectie van “lateral movement” (het verder binnendringen van een aanvaller in een IT-omgeving)
  3. Detectie van encryptieactiviteiten van ransomware

Voor de detectie van de activiteit van ransomware zijn er ook dergelijke strategieën. Bij aanvallen met Ransomware wordt er actief gezocht naar netwerkshares. Hier kunt u gebruik van maken.

  • U zou een netwerkshare kunnen inrichten die niet bekend is bij gebruikers maar wel makkelijk vindbaar is door aanvallers. De files op deze shares worden ook wel “honeyfiles” genoemd. Indien de files veranderen, weet u dat dit een malafide ransomwareproces zou kunnen zijn. Voordeel is dat dit makkelijk en kosteloos is in te richten. U maakt een dummy gebruiker aan en geeft deze gebruiker lees- en schrijfrechten op een bepaalde share waar deze persoon alleen toegang toe heeft. Hierop staat een aantal bestanden. U kunt gebruik maken van de auditingmogelijkheden in Windows om veranderingen aan deze bestanden te detecteren.
  • Als encryptie begint op deze server, weet u dat het niet een legitiem proces is en dat er malware in het spel is. U kunt er voor zorgen dat de files op deze share streng geaudit worden en dat er direct alerts worden verstuurd indien er veranderingen plaats vinden of bijvoorbeeld files hernoemd worden. Echter op het moment dat bestanden versleuteld worden is het vaak zo dat een encryptieproces ook is begonnen op andere servers. Het is aannemelijk dat op grote schaal ransomware uitgevoerd is, maar hoe eerder u reageert hoe meer er misschien nog te redden valt.