फ़ाइल सिस्टम गतिविधि के संदिग्ध स्तरों का पता लगाकर रैंसमवेयर हमलों को रोकना


1

3-4 उपयोगकर्ताओं और कुछ टीबी फाइल शेयर के साथ एक विंडोज 8/10 होम / छोटे कार्यालय प्रणाली मान लें (एक उपयुक्त RAID में 6TB कहें)। अधिकांश फाइलें स्थिर होती हैं, लेकिन कभी-कभी फाइलें स्थानांतरित या संशोधित हो जाती हैं। लेकिन अगर ओवरराइटिंग / डिलीट बहुत अधिक दर पर होने लगे (फाइलों की संख्या / निरंतर दर) तो यह दुर्भावनापूर्ण गतिविधि का संकेत हो सकता है और किसी उपयोगकर्ता को सचेत करने या उस पर प्रतिक्रिया देने के लिए एक घटना शुरू हो जानी चाहिए।

यदि यह हमले की एक रैनसमलॉकर शैली के कारण होता है, और फ़ाइल मोडिंग का पता लगाया जा सकता है और पहले 5/30 मिनट में रोका जा सकता है, तो संभावनाएं काफी अच्छी हैं कि कोई भी नुकसान स्थानीयकृत होगा या उसी या समान डेटा के लिए अन्य बैकअप मौजूद हो सकते हैं। तो यह साथ रह सकता है। (इस दृश्य के लिए मेरा कारण यह है कि स्थानीय रूप से कॉपी करने के लिए 4TB ड्राइव को स्ट्रीम करने में सिर्फ 10-20 घंटे लगते हैं, 6TB RAID को एन्क्रिप्ट करना सोर्स ड्राइव के लगातार पढ़ने-लिखने के कारण बहुत धीमा हो जाएगा)

समस्या यह है कि फ़ाइल ACLs बाइनरी "असीमित अनुमति" / "शून्य अनुमति" से अधिक के लिए अभिप्रेत नहीं हैं। यह अन्य मैलवेयर मुद्दों (खराब अटैचमेंट / डाउनलोड आदि) के लिए काम नहीं करता है और यहाँ मदद नहीं करता है। मुझे लगता है कि उस पहुँच के साथ कितनी और किस तरह की गतिविधि की जा रही है, इस तरह की चल रही "पवित्रता की जाँच"। लेकिन मैं भी फ़ाइल हैंडलिंग को धीमा करना नहीं चाहता जब यह वैध है, जब तक कि वास्तविक संदिग्ध पहुंच का पता नहीं चलता।

किस प्रकार की तकनीकों का उपयोग किया जा सकता है ताकि यदि कोई दुर्भावनापूर्ण प्रक्रिया किसी तरह डिवाइस या लैन पर निष्पादित होने में कामयाब हो, और एक उपकरण पर "रीड-संशोधित-ओवरराइट" या "रीड-सवेनवेफाइल-डिलीओरिजिनल" का एक चक्र शुरू हो, परिणामी फ़ाइल गतिविधि को उस उपकरण द्वारा संदिग्ध के रूप में सतर्क किया जा सकता है?

तो पता लगाने का लक्ष्य फ़ाइल गतिविधि की पागल हड़बड़ी है जिसमें एक रैनसमक्लर-प्रकार का हमला बंद हो जाएगा। यह छिपाना, निरंतर और बहुत विशिष्ट / असामान्य होना बहुत कठिन होगा। इसे रोकने के लिए रैंसमलॉकर शैली के हमलों को सबसे आसान बनाना चाहिए। लेकिन कोई इसे देखने कैसे जाएगा?

अद्यतन करें:

किसी भी गलतफहमी के लिए क्षमा करें। मैंने उस शब्द को बाहर निकाल दिया है जिसके कारण यह एक व्याकुलता के रूप में है - मुझे लगा कि यह हेपफुल होगा। लेकिन एसीएल की तकनीकी वास्तव में यहां विषय से हटकर हैं। समस्या / सवाल यह नहीं है "क्या आप रैनसमवेयर मुद्दों से बचने के लिए अपनी फाइल सिस्टम संरचना को बंद कर सकते हैं", भले ही आप बिल्कुल ऐसा कर सकते हैं।

प्रश्न इसके करीब है: "आपके पास एक बड़ी विंडोज-आधारित फ़ाइल प्रणाली है, लेकिन अनुमतियाँ या तो लॉक नहीं हो सकती हैं या नहीं () जो भी कारण हो, चाहे कुछ सहमत हो या असहमत )। सिद्धांत रूप में एक रैन्सम्लॉकर हमले में कई घंटे लगेंगे और असंबद्ध और बेहद विशिष्ट फ़ाइल सिस्टम गतिविधि उत्पन्न होगी, जिस पर ध्यान दिया जाए, तो निश्चित रूप से नुकसान होने से पहले प्रभावी कार्रवाई की अनुमति देने की क्षमता होगी। रैनसमवेयर गतिविधि पूरी तरह से असंदिग्ध है, इसलिए इस असामान्य फ़ाइल सिस्टम व्यवहार का पता लगाने और सचेत करने से व्यापक क्षति को रोका जा सकता है, भले ही मैलवेयर का पता न चले। प्रश्न: यदि इस तरह की पहचान वांछनीय थी, तो किस तरह की गतिविधि का पता लगाने के लिए कौन से तरीके / उपकरण / तकनीक का उपयोग किया जा सकता है? "


1
"समस्या यह है कि फ़ाइल ACLs बाइनरी से अधिक के लिए अभिप्रेत नहीं हैं unlimited permission / zero permission " - यह मेरे लिए समाचार है। यह कॉम्पिटिया सिक्योरिटी + परीक्षा पर, 3 अलग-अलग उद्देश्यों के खिलाफ जाता है।
Ramhound

साइड-इश्यू लेकिन निश्चित रूप से फाइल ACL को परिभाषित किया जाता है कि क्या प्राधिकरण / खाता X कार्रवाई Y कर सकता है "- जो कि अनिवार्य रूप से द्विआधारी है। मैंने जिस एसीएल के बारे में नहीं सुना है उसे परिभाषित किया गया है। अनुमति प्राप्त होने के बाद उस एक्सेस का उपयोग कैसे किया जाता है (निकटतम मैं सोच सकता है कि कोटा प्रवर्तन है, लेकिन क्या इसे आमतौर पर एसीएल आइटम माना जाता है?)। यदि ACLs फाइल सिस्टम में एक अनुमति का उपयोग करने के लिए और अधिक दानेदार अनुमतियाँ स्थापित कर सकते हैं, न कि केवल किस दाने की अनुमति का उपयोग किन परिस्थितियों में किन फ़ाइलों में किया जा सकता है, क्या आप समझा सकते हैं? अन्यथा यह टिप्पणी विषय से हटकर लगती है कि नहीं
Stilez

मैंने "असीमित" अनुमति के लिए अपराध किया। आप निश्चित रूप से एक समूह को पढ़ने, लिखने, निष्पादित करने के लिए प्रतिबंधित कर सकते हैं। पढ़ें & amp; लिखना, पढ़ना & amp; निष्पादित, पढ़ा और amp; लिखें & amp; निष्पादित करें, और फ़ोल्डर के लिए आप केवल सामग्री को सूचीबद्ध करने के लिए प्रतिबंधित कर सकते हैं लेकिन उपरोक्त में से कोई भी नहीं। तो एक एसीएल यदि ठीक से कॉन्फ़िगर किया गया है तो रैंसमवेयर से बचा सकता है, निश्चित रूप से मेरा व्यक्तिगत मानना, रैंसमवेयर का एकमात्र सुरक्षित डेटा वह डेटा है जो संक्रमण के समय जुड़ा नहीं है। तो इसे रोकने का सबसे अच्छा तरीका संक्रमित नहीं है
Ramhound

@ रामध्वज ,, मैं मानता हूं कि फाइलिंग सिस्टम को बंद करने से काम चल जाएगा। लेकिन अगर पूरी तरह से लॉक करना एक विकल्प नहीं है, या उपयोगकर्ता विशेषाधिकार प्राप्त करने के मामले में लॉकिंग और गतिविधि का पता लगाने के दोनों स्तर की सुरक्षा चाहता है / प्रशासक के उपयोग / अन्य एसीएल बाईपास से संबंधित मुद्दों के मामले में, तो सवाल का मुख्य बिंदु एक वैध है। एक। मैंने सवाल को स्पष्ट करने और ध्यान केंद्रित करने के लिए एक अपडेट जोड़ा है, और व्याकुलता के साथ पैरा को मारा है।
Stilez

फ़ाइल सिस्टम मॉनीटरिंग, आप असामान्य रूप से फ़ाइल डिलीट या क्रिएशन के लिए कई टूल्स के साथ अपने लॉग की निगरानी कर सकते हैं, अधिकांश एन्क्रिप्शन टेकनीक फाइल को एनक्रिप्ट करने के बाद डिलीट कर देते हैं, आप उपयोगकर्ता व्यवहार विश्लेषणों को भी आज़मा सकते हैं, इस तरह के टूल आम यूज़र व्यवहार और अलर्टिंग पर ध्यान केंद्रित करते हैं। स्वीकार किए गए व्यवहार में किसी भी बदलाव के लिए, इसे पढ़ें blog.varonis.com/the-complete-ransomware-guide
arana
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.