Ransomware
Czym jest Ransomware ostatnio niestety nie trzeba tłumaczyć. Raczej każdy użytkownik PC spotkał się z zagrożeniem które w sposób perfidny próbuje wyłudzić od nas pieniądze w zamian za przywrócenie dostępu do plików które wcześniej zaszyfrowało. Może nie bezpośrednio, ale choćby w przekazach medialnych. Problem z tego typu rozwiązaniami jest taki że są one często tzw. wirusami polimorficznymi, co to oznacza? W bardzo uproszczonym opisie, są to wirusy które same siebie modyfikują, tak żeby bazy sygnatur antywirusów nie były w stanie takowych rozpoznać. Co za tym idzie, zwyczajne rozwiązania oparte właśnie na nich, nie są w stanie nas odpowiednio zabezpieczyć. Tutaj potrzebna jest analiza behawioralna plus dodatkowy moduł do uczenia się o nowych zagrożeniach i o tym chciałbym dzisiaj napisać kilka słów.
Intercept X
Główną funkcja oprogramowania Intercept X jest analiza zachowań procesów uruchamianych na stacji roboczej. Dzięki tej analizie możliwe jest wykrycie ataków opartych na wykorzystywaniu podatności systemu po przez tzw. Exploit kity, czyli oprogramowanie które jest zbiorem narzędzi pozwalającym sprawdzać i wykorzystywać luki systemowe.
Oprócz ochrony przed exploitami Sophos zaimplementował także funkcjonalność Cryptoguard i Wipeguard. I to właśnie one są odpowiedzialne za bezpieczeństwo przed szyfrowaniem plików. Cryptoguard działa na zasadzie analizy procesu który uzyskuje dostęp do naszych plików, w tym momencie tworzy jego kopie zapasową tak aby w momencie kiedy następuje zapis tego pliku porównać te dwie wersje, jeżeli na tej podstawie nie jest w stanie dalej rozpoznać pliku, to pozostawia kopię zapasową w repozytorium i kontynuuje monitorowanie oprogramowania. Jeżeli okaże się że to samo dzieje się z kolejnymi plikami do których proces ma dostęp, to zostaję on przerwany, a pliki przywracane są z repozytorium.
Pozostaje jeszcze wytłumaczyć czym zajmuje się Wipeguard, jak nazwa wskazuje chroni nas to przed „wyczyszczeniem” systemu, czyli uszkodzeniem znajdującego się na dysku MBR (Master Boot Record), czegoś na wzór instrukcji uruchomienia systemu bez tego nasz system operacyjny jest w sumie bezużyteczny i nie do uruchomienia. Cześć wirusów typu Ransomware szyfruje również ten element, a ochroną przed tym zajmuje się właśnie Wipeguard.
Deep Machine Lerning
Funkcje opisane powyżej to nie wszystko co rozwiązanie Intercept X ma do zaoferowania, kolejnym elementem jest możliwość uczenia się na podstawie próbek z plików wykonywalnych w systemie Windows. Jeżeli algorytm wykryje że aplikacja jest niebezpieczna, to wyszukuje charakterystyczne cechy typowego szkodliwego oprogramowania, na podstawie tego klasyfikuje aplikacje jako nieszkodliwą, potencjalnie niepożądaną lub szkodliwą.
Algorytm o którym wspomniałem jest tak skonstruowany że wykorzystuje wiedzę zebraną wcześniej w celu użycia jej w trakcie późniejszych analiz kolejnych aplikacji. Dzięki czemu z każdą kolejną iteracją uczenia się, rozwiązanie jest w stanie wykrywać coraz to nowsze zagrożenia które pojawiają się w sieci. Warto tutaj wspomnieć że źródłem do uczenia się algorytmu są setki tysięcy próbek dostarczanych do laboratoriów Sophos każdego dnia.
Co wyróżnia Intercept X od innych rozwiązań AntyRansomware?
Doświadczenie. Sophos poszukując kolejnych rozwiązań do walki z zagrożeniami typu „Zero Day” na początku 2017 roku przejął firmę Invincea, a oryginał opracowanego przez nią algorytmu który teraz znajdziemy w Intercept X został opracowany już w 2010 roku czerpiąc z technologii wykorzystywanej przez agencje amerykańskiego departamentu obrony (DARPA) i był udoskonalany przez wiele lat. To czyni go rozwiązaniem dojrzałym pod kątem programistycznym.
Nieskończone źródło danych. Sophos Labs analizuje codziennie ponad 400 tyś. nowych plików szkodliwych co stanowi nieskończone źródło wiedzy pozwalające z jednej strony jeszcze lepiej nauczyć algorytm właściwego odróżniania plików szkodliwych poprzez ekstrakcję ich cech, z drugiej strony pozwala dokładniej przetestować algorytm na żywych próbkach. Dostarczenie takich ilości danych pozwala rzadziej szkolić algorytm i wprowadzać do niego poprawki ze względu na już i tak bardzo wysoką skuteczność.
Wydajność. Typowe algorytmy uczenia maszynowego potrafią zajmować wiele miejsca, nawet po kilkaset MB, co często przekłada się na wydłużony czas analizy. Algorytm Deep Learning w Intercept X waży poniżej 20 MB, a czas jego reakcji zazwyczaj zajmuje około 20 ms.
Sprawdzony. Model algorytmu wykorzystany w Intercept X był wielokrotnie prezentowany na różnych konferencjach (np. Black Hat) i testowany przez firmy trzecie jak NSS Labs zyskując uznanie i najwyższe noty. Od sierpnia 2016 roku jest modelem testowanym również na popularnym serwisie VirusTotal.
Zobaczyć znaczy uwierzyć
Polecam samemu przetestować rozwiązanie Intercept X. Jeżeli chcecie to wykorzystać w swojej firmie to zachęcam do rejestracji i przetestowania 30 dniowej wersji próbnej dostępnej pod tym adresem: https://secure2.sophos.com/en-us/content/offers/intercept-x/free-trial.aspx?id=001j000000YAjQj
A na koniec warto jeszcze wspomnieć o wersji Home Premium, jest to wersja dostępna dla użytkowników domowych, w niej również zaimplementowane są bardzo podobne funkcje jak w Intercept X, dzięki czemu możemy zabezpieczyć również swoje prywatne dane, więcej informacji dostępne jest pod tym linkiem: https://home.sophos.com/en-us.aspx
Autorem artykułu jest Rafał Gałka z firmy Konsorcjum FEN Sp. z o.o.