enens - stock.adobe.com
Besser gegen Ransomware geschützt mit der Kanarienvogelmethode
Kanarienvogeldateien erkennen eine versteckte und ausgefeilte Infektion durch Ransomware frühzeitig und verhindern die Erpressung von Lösegeld.
Backup-Anbieter raten Kunden, die von Ransomware befallen sind, einfach zum Zeitpunkt vor der Infektion zurückzukehren. Mit einer Recovery-Datei könnten sie binnen Sekunden den alten Zustand wiederherstellen. Die Schwierigkeit liegt aber darin, festzustellen, wann die Infektion genau stattgefunden hat.
Ransomware, also ein Angriff mit dem Ziel einer Lösegelderpressung, wird immer intelligenter und versucht, den Zeitraum zwischen Infektion und Entdeckung möglichst auszudehnen, um mehr Geld zu erpressen. Statt sich sofort zu melden, wühlt heutige Ransomware möglichst lange im System und versursacht Schäden. Eine Schutzmethode besteht darin, Kanarienvogeldateien (Canary Files) zu verwenden, die Alarm schlagen, wenn sie eine Infektion entdecken.
Das Konzept entstammt alten Kohleminen: Die Bergarbeiter nahmen Kanarienvögel mit in die Schächte. Wenn die tot umfielen, wussten die Mineure, dass sich die Luft verschlechtert hatte und sie die Beine in die Hand nehmen mussten, um sich zu retten.
Wie sich Angriffe und Schutzmethoden bei Ransomware verändert haben
Frühe Ransomware-Attacken versuchten möglichst schnell, alles zu verschlüsseln, bevor irgendjemand reagieren konnte. Die Anwendungen stellten fast sofort den Betrieb ein, aber der schnelle Angriff erleichterte es, den Infektionspunkt festzustellen, für gewöhnlich ein Desktop PC ohne Patches.
Kluge Unternehmen brachten ihren Angestellten bei, ihre Rechner auszuschalten, um eine Ausbreitung der Seuche zu verhindern. Die Anbieter von Backup-Software stellten sich auf diese Angriffsart ein. Viele Backups, die Virtualisierung verwenden, bieten die Fähigkeit, zu einem früheren Backup-Zeitpunkt zurückzukehren. Die Wiederherstellung solcher virtueller Maschinen (VM) passiert extrem schnell. Die VMs werden wiederhergestellt, nicht einzelne Dateien. Schnelle Entdeckung und Wiederherstellung machten Lösegeldzahlungen überflüssig.
Das fiel natürlich den Autoren von Ransomware auf und sie veränderten ihre Methoden. Die Attacken laufen jetzt versteckter ab und der Schutz dagegen wird komplizierter. So werden etwa nach der Infektion erst die Backup-Dateien verschlüsselt und danach komprimierte Dateien. Das Ziel ist es, so viel wie möglich so lange als möglich zu verschlüsseln, bevor die Malware erkannt wird.
Wenn es dem Anwender erst nach einer Weile auffällt, dass wertvolle Daten verschlüsselt worden sind, wird die Entscheidung für ein Rollback sehr viel schwerer. Wenn durch die Wiederherstellung nur eine Stunde an produktiver Arbeit verlorengeht, ist das zu verkraften. Sehr viel schwieriger wird es, wenn es sich um eine ganze Woche handelt. Dann wird es erforderlich, jede infizierte Datei aufzuspüren und nur diese wiederherzustellen. Ein solcher Prozess des Aufspüren und Wiederherstellen ist sehr aufwendig und muss eventuell von Hand erfolgen.
Es kann darauf hinauslaufen, eine Woche produktiver Arbeit zu verlieren oder Fachkräfte tagelang im Wiederherstellungsprozess zu binden. Da mag es attraktiver erscheinen, lieber ein Lösegeld zu zahlen. Je länger die Ransomware unentdeckt bleibt, desto höher ist die Chance einer Lösegeldzahlung.
Kanarienvogeldateien entdecken Infektionen schnell
Eine Schutzmethode gegen diese ausgefeilten verzögerten Angriffe besteht darin, Infektionen möglichst schnell zu erkennen – hier kommen die Kanarienvogeldateien ins Spiel. Canary Files und Dateien auf Canary Shares geben sich ein Aussehen, das sie für Ransomware attraktiv und als bevorzugtes Verschlüsselungsziel erscheinen lässt. Sie existieren nur, um eine Ransomware-Attacke zu erkennen.
Grundsätzlich werden sie mit echten Dateien und Shares gemischt. Die Antimalware-Software beobachtet die Kanarienvogeldateien. Eine kleine Zahl von Canary Files ist viel einfacher im Blick zu behalten als die gesamten Dateien im Unternehmen. Normale Anwender und Prozesse fassen die Kanarienvogeldateien niemals an. Jede Veränderung an diesen zeigt mit hoher Wahrscheinlichkeit einen Malware-Angriff. Wenn Zeitstempel, Dateigröße, Dateiname oder die Prüfsumme sich ändern, sind dies Indikatoren auf eine böswillige Änderung.
Weil die Dateien von echten Anwendern nie benutzt werden, zeigt jeder Zugriff, selbst ein bloßer Lesezugriff, eine Bedrohung. Canary Shares schlagen sogar bei einem Dateiscan Alarm, weil Otto Normalnutzer nichts mit ihnen zu tun hat. Sobald ein verdächtiger Zugriff erfolgt, treten die Erkennungssysteme in Aktion und starten die Quarantänevorgänge. Bei einer schnellen Erkennung sind die Auswirkungen auf das Gesamtsystem nicht gravierend und der Rollback von VMs keine große Sache.
Ein noch besseres Kanariensystem führt eigene Änderungen an den Canary Files durch. Genau wie die Entwickler von Ransomware getarnte Schleichwege finden mussten, werden sie bald auf Canary Files aufmerksam werden. Wenn sie eine Menge Dateien mit demselben Erschaffungsdatum und letztem Zugriffsdatum sehen, werden die Alarmsirenen heulen.
Deshalb wird schon bald ein Kanariensystem nötig, dass wie ein echtes System aussieht. In diesem verbesserten Kanariensystem werden Dateien regelmäßig Updates erhalten, neue Dateien geschaffen und die Zeitstempel sollten bei Dateien und Shares unterschiedlich sein.
Ein Kanariensystem mit strengen Kontrollen der Zugangshäufigkeit und Art erleichtert es, anormales Verhalten zu erkennen. Es hilft nicht nur gegen Ransomware, sondern auch gegen andere Bedrohungen.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!