SentinelOne, de volgende stap in ransom- en malware bestrijding
Ransomware is een hot item, in de media gaan er bijna wekelijks verhalen rond over massale infecties en dataverlies.
Deze dreiging is in de afgelopen maanden nog groter geworden, nadat er tijdens de uitbraak van Wanacry en Petya is gebleken dat de developers van deze malware gebruik hebben gemaakt van nieuwe beveiligingslekken in Windows. De ransomware kon zich zonder actie van de gebruiker (bijv. het openen van een Word-bestand met ingeschakelde macro’s) verspreiden.
Hoe kunnen dit soort infecties voorkomen worden? Het zijn natuurlijk geen algemeen bekende beveiligingslekken (zero-days).
Detectie en preventie?
Traditionele AV-software maakt gebruik van detectie, op basis van de unieke identifier van de malware, zogenaamde signature-based detection.
Dit was voorheen een prima manier van detectie en preventie, maar deze blijkt niet bestand tegen het hoge tempo van de malware-ontwikkelaars. Door de snelle aanpassingen en nieuwe technieken, die door criminelen worden gebruikt, zijn zij deze manier van detectie altijd een stap voor.
Vaak zijn er na de eerste uitbraak binnen enkele dagen al meerdere mutaties die een nieuwe en onbekende signature met zich meebrengen en zo de antivirus weten te omzeilen.
De Volgende Stap
Als de huidige vorm van malwaredetectie niet voldoende bescherming kan bieden, hoe gaan we deze dreigingen dan tegen?
Daar heeft de Californische antivirus-fabrikant SentinelOne ook over nagedacht, en als antwoord hierop hebben zij een nieuwe manier van detectie ontworpen.
SentinelOne doet zijn detectie niet meer alleen op basis van de malware signature, maar door het detecteren van ongewenst en afwijkend gedag.
Deze manier van detectie rekent af met antivirussoftware die ieder bestand onder de loep wil nemen en regelmatig volledige systeemscans uitvoert waardoor de beschikbare resources op de machine in rap tempo worden verslonden.
Het alternatief dat SentinelOne biedt is een agent met minimaal resource-verbruik. In plaats van constante scans blijft deze agent aan de zijlijn staan en beoordeeld als een soort scheidsrechter of het gedrag van bepaalde processen wel of niet door de beugel kan.
Om een voorbeeld te noemen, als u een Word-bestand opent dan is het niet erg bijzonder als hier netjes de verwachte tekst naar voren komt. Maar stel dat er op de achtergrond verbindingen naar buiten worden gemaakt, of er vinden wijzigingen plaats in andere bestanden? Dan gaat het ogenschijnlijk onschuldige document verdacht veel op malware lijken en grijpt de SentinelOne agent in.
Deze nieuwe methodiek klinkt als een ideale oplossing, maar werkt dit ook in de praktijk? Daar komen we maar op één manier achter..
De Test
Ransomware installeren.
de Koning heeft een gecontroleerde omgeving opgezet, waarin de detectie van SentinelOne getest kan worden. De testomgeving wordt gebruikt om alle bekende ransomware en malware te testen.
De testomgeving bestaat onder andere uit virtuele Windows 7 machine, die volledig is voorzien van de laatste Windows Updates, veelvoorkomende software en enkele dummy-bestanden.
Specificaties:
OS: Windows 7 (x64)
Memory: 4096 MB
CPU: 2 vCPU
Software: MS Office 2013, Mozilla Firefox, 7zip
In deze test zullen twee van de meest bekende Ransomware-varianten getest worden. In de eerste test is een Petya-infectie te zien, in de tweede test bekijken we een Wanacry-infectie.
SentinelOne zal in deze test alleen waarschuwen over de infectie zodat zichtbaar is dat er daadwerkelijk een Ransomware-infectie plaatsvindt. Alle preventiemogelijkheden zijn uitgeschakeld.
Normaliter zal SentinelOne een verdacht proces automatisch stoppen en tegelijkertijd een Auto-Immune actie uitvoeren op de andere agents om verspreiding te voorkomen.
In de bovenstaande video is de Petya-infectie zichtbaar, deze Ransomware-variant is in de eerste instantie erg lastig te detecteren doordat hij pas na een herstart van de machine begint met het versleutelen van bestanden.
In de video is het volgende te zien:
– Om te bevestigen dat het inderdaad de Petya-ransomware betreft vergelijken we de SHA256 hashes (de unieke identifier).
– De ransomware starten we rechtstreeks op door de geïnfecteerde DLL-file aan te spreken. Petya zal hierna als eerst proberen dit bestand te verwijderen om zo zijn sporen te wissen.
– Petya genereert vervolgens een file in C:\Windows als ‘kenmerk’ van een systeem dat al geïnfecteerd is, zodat de focus volledig op verspreiding naar niet-geïnfecteerde machines gericht kan worden.
– Niet zichtbaar in deze video is dat Petya op de achtergrond gebruik maakt van verschillende exploits om te verspreiden naar andere machines in het netwerk. Hierbij maakt hij gebruik van credentials die lokaal gecached zijn.
– Ondertussen past Petya het master boot record (MBR) aan waarmee uiteindelijk de encryptie gaat plaatsvinden.
– Na de aanpassing van het MBR maakt Petya een scheduled task aan om het systeem enkele uren later te herstarten. Het tijdstip kan variëren van 1 tot 5 uur na de infectie.
Interessant detail: Er is geen manier om de bestanden te decrypten, omdat er geen verband is tussen de getoonde “installation key” en de key die gebruikt wordt voor de encryptie.
Tot slot voeren we vanuit de SentinelOne management console een Rollback-commando uit. Hiermee worden alle sporen van de infectie getraceerd, vernietigd en is de machine weer volledig in de originele staat hersteld.
Wanacry – Infectie, Rollback, Analyse
Wanacry is een ransomware-variant die erg duidelijk aanwezig is en zeer agressief is in het versleutelen van bestanden.
In de video kunt u van begin tot eind bekijken hoe een systeem geïnfecteerd raakt, en hoe SentinelOne dit terugdraait.
Naast de infectie en rollback die zichtbaar is in de video bekijken we de analyse die door SentinelOne automatisch is opgesteld. Dit rapport laat een infectie zien op een Windows 10 machine.
De rapportage van SentinelOne is bijzonder uitgebreid, naast het zichtbaar maken van het infectieproces is er een .CSV report gemaakt met welgeteld 17288 rijen aan informatie.
SentinelOne laat o.a. zien met welke IP adressen de ransomware communiceert, dit kunnen C&C (Command & Control) servers zijn of locaties waar aanvullende bestanden (de zogenoemde Payload) van worden gedownload.
Ook zaken als verwijderde bestanden, wijzigingen en nieuwe bestanden worden bijgehouden. Zo is bijvoorbeeld te zien dat Wanacry in verschillende talen zijn boodschap kan laten zien.
Verder is te zien dat de afbeelding met hierin de betalingsinformatie en de decryptor-tool worden klaargezet.
Tot slot nestelt Wanacry zich in het systeem om het verwijderen van de ransomware te bemoeilijken.
In een tijdsbestek van twee minuten is de volledige machine versleuteld, maar ook in dit stadium is het mogelijk om een volledige rollback uit te voeren.
Conclusie
SentinelOne maakt zijn beloften meer dan waar. De gebruiker merkt niets van de aanwezige agent en de detectie waar SentinelOne gebruik van maakt blijkt bijzonder effectief.
de Koning test met grote regelmaat nieuwe ransomware-varianten en andere malware, tot op heden is de detectie 100%.
Heeft u behoefte aan meer informatie over SentinelOne of een live demonstratie op locatie? Neem dan contact met ons op.
