Servicios "Canary" para detener la ejecución de ransomware
Frecuentemente los desarrolladores de ransomware detienen varios servicios/eliminan varios procesos antes de comenzar a cifrar. Por ejemplo Ryuk:
net stop avpsus /y
net stop McAfeeDLPAgentService /y
net stop
mfewc /y
net stop BMR Boot Service /y
net stop NetBackup BMR
MTFTP Service /y
Al hilo de ésto, Ollie Whitehouse de NCC Group ha publicado SWOLLENRIVER, una interesante herramienta bajo licencia AGPL que implementa una serie de procesos canarios que se controlan entre sí. Si estos servicios se detienen (a través de net stop o similar) y no durante el cierre del equipo, disparará un token Canary DNS e hibernará el host.
Los Canary Tokens son un concepto muy interesante en el mundo Deception/honeypots. Es como los clásicos web bugs que se incluían en los correos electrónicos, imágenes transparentes que se cargaban mediante una URL única embebida en una imagen tag, alertando al "cazador" que está monitorizando las peticiones GET contra un sitio.
Hay tokens de muchos otros tipos: acceso o lectura a ficheros, peticiones a bases de datos, patrones en logs, ejecución de procesos y, entre ellos, el token DNS que no es otra cosa que un nombre de dominio único que se puede resolver en Internet y, cualquiera que intente resolver este nombre de dominio, activará una alerta.
Para poder generar este tipo de alertas:
- Necesitaremos crear el token en https://docs.canarytokens.org/guide/dns-token.html#creating-a-dns-token y cambiar REPLACEME aquí: https://github.com/nccgroup/KilledProcessCanary/blob/master/Program.cs#L241
- Compilar SWOLLENRIVER
- Implementar en rutas típicas para al menos DOS servicios de Windows específicos
- Instalar el servicio de Windows e iniciarlo.
New-Service -Name "MSSQL" -BinaryPathName "C:\Program Files\Microsoft SQL Server\sqlserver.exe"
Al hacer esto, conseguiremos:
- Minimizar el impacto/probabilidad de un cifrado exitoso
- Obtener más opciones de recuperación de la clave de cifrado de la RAM
- https://www.carbonblack.com/blog/vmware-carbon-black-tau-ryuk-ransomware-technical-analysis/
- https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!