Endpoint-Lösungen können Unternehmen vor Ransomware schützen

 

Originalartikel von Marvin Cruz, Ryuji Fortuna und Joselito Dela Cruz

Allein für dieses Jahr prognostiziert das FBI einen Gesamtschaden von einer Milliarde $ durch Ransomware. Und das Geschäft boomt. Kleine und mittlere Unternehmen haben meist nur begrenzte Ressourcen für starke Sicherheitslösungen zur Verfügung. Trotz mehrschichtiger Sicherheit könnten die Unternehmensnetzwerke gefährdet sein, wenn die Bedrohung aus bekannten und vertrauenswürdigen Quellen kommt, etwa Partner, Drittanbieter, Kontakte oder auch den Mitarbeitern selbst. Angesichts dieser Aussichten könnten Endpunktlösungen mit gutem Verhaltensmonitoring und Anwendungskontrolle die letzte Verteidigungslinie gegen Ransomware darstellen.


Bild 1. Ransomware-Angriffe und entsprechende Lösungen

Funktionsweise des Verhaltensmonitorings

Verhaltensmonitoring verfolgt und blockt jede „Anomalie“ oder ungewöhnliche Verhaltensweise bzw. Modifikation. Es ermöglicht die proaktive Erkennung und Verhindern der Ausführung von Ransomware und Crypto-Ransomware, basierend auf bekannten und nicht bekannten Taktiken oder Fähigkeiten. Dazu gehören Verschlüsselung, Prozessmanipulation, Ablegen von Dateien und die Kommunikation mit C&C-Servern. Auch Info Stealer-Varianten wie RAA Ransomware und MIRCOP können geblockt werden.

Ein gutes Verhaltensmonitoring-Tool kann jedes Programm beenden, das bestimmte Dateien in Systemen verschlüsselt. Gehört ein laufendes Programm nicht zu einer Whitelist, oder wird es mit Ransomware in Zusammenhang gebracht, sollte das Tool in der Lage sein, sofort dessen Ausführung zu unterbrechen.

Auch entdeckt ein gutes Verhaltensmonitoring-Tool Skripts, die darauf zugeschnitten sind, Mail-Scanner zu umgehen und bösartigen Code zu verschleiern (so geschehen mit Locky, TeslaCrypt 4.0 und CryptoWall 3.0). Trend Micros Tool erkennt und blockt Ransomware, die VBScript (Cerber und Locky-Varianten) oder JScript (RAA) verwendet.

Manche Erpressersoftware-Familien löschen Shadow-Kopien, eine normale Verhaltensweise in manchen Betriebssystemen, die daher nicht gleich geblockt werden kann. Doch sollte ein Tool in der Lage sein, diese Routine als Indikator für eine mögliche Ransomware-Infektion zu markieren.

Andere Ransomware-Varianten können auch rechtmäßige Programme, Services oder Frameworks missbrauchen, um einer Entdeckung und Entfernung vom System zu entgehen. Ein Beispiel dafür ist PowerWare und der Missbrauch der Windows PowerShell. Ein gutes Verhaltensmonitoring muss bestimmte Events suchen und verhindern, so etwa das bösartige Verhalten von normalen Programmen/Services/Frameworks. Auch sollte es eine Policy haben, die angibt, welche Dateien nicht auf dem System ausgeführt werden dürfen.


Bild 2. Code, der PowerWare den Missbrauch der PowerShell ermöglicht

Normale Nutzer werden nicht immer gleich über eine Ransomware-Infektion informiert, vor allem wenn der bösartige Code in einen normalen Prozess wie Explorer.exe eingeschleust wird. In solchen Fällen kann Verhaltensmonitoring helfen, denn Verhaltensweisen wie das Einschleusen oder Hooking-Routinen können markiert und dann geblockt werden.

Anwendungskontrolle

Eine weitere nützliche Funktion von Endpoint-Lösungen ist die Anwendungskontrolle (auch Whitelisting genannt). Sie hindert Ransomware an der Ausführung auf Systemen und verhindert weiteren möglichen Schaden für Backups usw. Whitelisting erlaubt nur das Ausführen von nicht bösartigen Routinen/Dateien/Prozessen.

Bild 3. Trend Micro Application Control hindert JIGSAW an der Ausführung

IT-Admins stellen die Liste der Programme/Dateien/Prozesse zusammen, die auf dem System laufen dürfen. Diese Liste kann auf einem Inventar der vorhandenen Endpunkte basieren, auf Kategorien, Anbietern, Apps oder anderen dynamischen Reputationsattributen. Darf eine App ausgeführt werden, so ist dies auch den nachfolgenden Versionen und Updates erlaubt. Admins können eine ausführliche Liste sicherer Apps, nutzen, von Systemdateien bis zu Desktop- und mobilen Apps.

Programme/Dateien/Prozesse können aber auch auf bestimmten Dateipfaden verboten werden. Admins erstellen Regeln für das Blockieren in bestimmten Verzeichnissen. Einige Ransomware-Varianten legen Kopien in %Temp%- und %User Temp%– Verzeichnissen ab. Dies sind Pfade, die die meisten Schädlinge nutzen. Ransomware wie JIGSAW nutzt %Application Data% und %AppDataLocal%.

Bild 4. Bestimmte Locations, die Trend Micro Application Control blocken kann

Keine 100% Sicherheit

Es gibt so viele Möglichkeiten, wie Ransomware auf die Systeme eines Unternehmens gelangen kann. Daher bedarf es einer mehrschichtigen Verteidigung, die Endpunkte, Netzwerke und Server schützt. Verhaltensmonitoring und Anwendungskontrolle stellen nur zusätzliche Schutzschichten dar für den Fall, dass Ransomware durch das Gateway Level gelangt.

Trend Micros Smart Protection Suites kann über Verhaltensmonitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern Die Anti-Ransomware-Funktion erkennt und blockt die Ausführung der Malware

Mithilfe des Deep Discovery™ Email Inspector können Ransomware-bezogene Emails und bösartige Anhänge erkannt und geblockt werden. Die anpassbare Sandbox erkennt auch Varianten, die Makros nutzen. IP- und Web-Reputation mindern das Risiko von Ransomware auf Mail- und Web-Ebene.

InterScan™ Web Security scannt nach Zero Days und Browser Exploits. Die IP- und Web- Reputationsfunktionen können die Gefahr von Infektionen auf Mail- und Gateway-Level mindern.

Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*