Wykrywanie ataku ransomware i odzyskiwanie danych w Zerto 10

Ransomware wydaje się być pojawia się obecnie w wielu dyskusjach i to nie bez powodu. Cyberprzestępcy zarabiają na tym procederze mnóstwo pieniędzy, powodując ogromne problemy dla firm i instytucji, które z kolei tracą z tego powodu miliardy - ale przede wszystkim tracą czas i reputację.

Wyzwaniem staje się znalezienie rozwiązania, które naprawdę rozwiąże problem.

W tym artykule wyjaśnię, w jaki sposób jest możliwe wczesne wykrywanie ataku ransomware oraz odzyskiwanie danych dzięki HPE Zerto, które jest naprawdę przydatne zarówno w wykrywaniu nowoczesnego oprogramowania ransomware, jak i szybkim odzyskiwaniu danych, z zachowaniem bardzo niskiego wskaźnika RPO.

Krótkie wyjaśnienie pojęcia „ransomware”

Nowoczesne ataki hakerskie z wykorzystaniem złośliwego oprogramowania typu „ransomware” to sposób na wyłudzanie pieniędzy od użytkowników końcowych. Stało się ono niezwykle wyrafinowane, inteligentnie (i po cichu) atakując oprogramowanie do tworzenia kopii zapasowych, jak też antywirusowe, a następnie niezauważalnie uszkadzając dane użytkownika.

Uszkodzenie odbywa się poprzez szyfrowanie danych. Ransomware wstrzykuje sterownik filtrujący, który w niezauważalny sposób szyfruje i odszyfrowuje dane: można to porównać do dodatkowej warstwy, która działa nieco podobnie do Windows BitLocker lub Apple FileVault. Różnica polega na tym, że użytkownik nie posiada klucza do odblokowania danych, za to mają go hakerzy...

Z racji tego, że jest to sterownik filtrujący, użytkownicy są nieświadomi tego, co się odbywa. Cały atak kończy się na tym, że operatorzy ransomware ujawniają się, ostatecznie szyfrując nasze dane i żądają pieniędzy za dostarczenie użytkownikom klucza do ich odblokowania.

Często nie muszą nawet ruszać kopii zapasowych, ponieważ jeśli atakujący powoli szyfruje dane i zanim zażąda pieniędzy czeka np.kilka miesięcy, to prawdopodobnie nie posiadamy niezainfekowanych kopii zapasowych, z których możemy odzyskać dane.

Dla większości firm taka sytuacja, to prawdziwa katastrofa i z pewnością po prostu nie przetrwałyby takiej utraty danych.

Oczywiście idealną sytuacją jest uniknięcie ataku ransomware na samym początku. Jednak to wymaga zastosowania technik i procedur wychodzących daleko poza serwery i pamięć masową, z wieloma liniami obrony.

Ale co, jeśli zostaniemy zaatakowani przez oprogramowanie ransomware i zacznie ono szyfrować nasze dane? Jak szybko to wykryć i odzyskać dane, zamiast tracić dni lub miesiące pracy? Jak wygląda ostatnia linia obrony?

Zdefiniowanie problemu

Problem ataków ransomware stał się na tyle powszechny, że praktycznie każdy dostawca sprzętu IT czy oprogramowania „reklamuje” swoje podejście i technologie do jego rozwiązania. Jednak bardzo często mamy do czynienia z dezinformacją. W walce z tego rodzaju podejściem, dużo więcej czasu zajmuje przedstawianie rzeczywistych argumentów, niż rozpowszechnianie samej dezinformacji... W kolejnej części podejmę się próby wyjaśnienia krok po kroku tego problemu oraz dostarczenie właściwego rozwiązania.

Większość technik wykrywania ransomware obraca się wokół kilku obszarów:

• Pomiar szybkości zmian kopii zapasowych / migawek, przy założeniu, że szyfrowanie zwiększy wykorzystanie przestrzeni dla takich mechanizmów ochrony
• Pomiar wydajności redukcji danych, przy założeniu, że szyfrowanie pogorszy współczynniki redukcji danych
• Pomiar wykorzystania procesora, przy założeniu, że masowe szyfrowanie radykalnie zwiększy zużycie procesora
• Pomiar entropii danych, przy założeniu, że szyfrowanie zwiększy ogólną entropię - następnie porównanie z ustalonym progiem entropii dla niezaszyfrowanych danych i ostrzeżenie, jeśli ten próg został przekroczony
• Pierwsze trzy można zaklasyfikować jako metody "generacji 1" (Gen 1), a wykrywanie z wykorzystaniem entropii jako "generację 2" (Gen 2). Problem polega na tym, że techniki te są obecnie niewystarczające

Nowoczesne oprogramowanie ransomware ewoluowało, przez co klasyczne techniki wykrywania Gen 1 i Gen 2 stały się przestarzałe

• Nie próbuje ono zbyt szybko szyfrować danych, co oznacza, że obciążenie procesora nie różni się znacząco od normalnego działania
• Nie próbuje szyfrować zbyt dużej ilości danych - wystarczy niewielka ilość zaszyfrowanych danych w każdym pliku, aby stały się one bezużyteczne. Z drugiej strony, zmiana nie jest na tyle znacząca, by wzbudzić podejrzenia, więc ani rozmiar kopii zapasowej, ani obliczenia współczynnika redukcji danych nie zadziałają, aby go wykryć
• Wykrywanie entropii Shannona samo w sobie nie jest wystarczające do wykrycia oprogramowania ransomware, które szyfruje niewielkie ilości danych, ponieważ zwykle opiera się na pomiarze wzrostu entropii w stosunku do ustalonego progu, a nowoczesne oprogramowanie ransomware niekoniecznie osiągnie ten ustalony próg z powodu zmiany plików tylko w niewielkim stopniu, co można łatwo zinterpretować jako normalne zachowanie.
• Nowoczesne oprogramowanie ransomware coraz częściej wykorzystuje techniki takie jak kodowanie „Base64”, co jest jeszcze bardziej niebezpieczne, ponieważ całkowicie myli standardowe wykrywanie z wykorzystaniem entropii Shannona. Konwertują one dane z entropii plików binarnych na entropię tekstu, utrudniając osiągnięcie jakichkolwiek znanych progów wykrywania (w rzeczywistości ta jedna prosta sztuczka pokonuje wszystkie standardowe schematy wykrywania entropii).

Więcej wyzwań

Szyfrowanie na poziomie serwerów?

Istnieje również aspekt pożądanego szyfrowania wykonywanego na poziomie hosta (na przykład bazy danych zaszyfrowane przez sam silnik DB). Jeśli plik zostanie celowo zaszyfrowany przez użytkownika, to w jaki sposób podstawowe techniki wykrywania ransomware odróżniłyby to szyfrowanie od innego szyfrowania? Wyglądałoby to po prostu na zastąpienie zniekształconych danych równie zniekształconymi danymi. I skutkowałoby fałszywymi alarmami. Wydaje się więc logiczne, że nowoczesny mechanizm wykrywania ransomware musi być w stanie radzić sobie zarówno z celową aktywnością na poziomie hosta, jak i nowoczesnym ransomware, dynamicznie, bez polegania na stałych wartościach progowych i bez założeń dotyczących typów danych.

Skanowanie kopii zapasowych/migawkowych?

Skanowanie kopii zapasowych lub migawek ma wielkie wady, oprócz wyżej wymienionych wyzwań związanych z podstawowym wykrywaniem entropii. Skanowanie kopii zapasowych zależy od ilości zapisanych danych, więc nie może być łatwo skalowane w większych środowiskach. Oczywiście odzyskiwanie danych opierałoby się na mocno oddalonych czasowo harmonogramach tworzenia kopii zapasowych, co skutkowałoby słabym RPO wynoszącym kilka dni.

Skanowanie na poziomie pojedynczego dysku?

Bardzo mało informacji można uzyskać z poziomu dysku i nie ma łatwego sposobu na powiązanie ich z określonymi plikami, współpracę z resztą infrastruktury lub wycofanie się do określonej operacji sprzed ataku. Przydatne jest natomiast do celów marketingowych i twierdzeń o "obliczeniowej pamięci masowej", co technicznie rzecz biorąc jest prawdą, ale w żaden sposób nie pomaga w walce z ransomware.

Połączenie wykrywania z odzyskiwaniem: Idealne podejście

Wykrywanie ransomware musi być ściśle powiązane z odzyskiwaniem danych.

• Wykrywanie musi odbywać się w czasie rzeczywistym lub jak najbardziej zbliżone do niego
• Odzyskiwanie musi umożliwiać bardzo szczegółowe przywracanie danych, tak aby RPO pochodziło dokładnie z okresu przed rozpoczęciem szyfrowania danych. Nie należy polegać na kopiach zapasowych lub migawkach, które mogą być odległe o kilka godzin lub dni od wykrycia szyfrowania danych

Podejście HPE  - generacja 3: wykrywanie, które dostosowuje się do danych

HPE stworzyło kilka nowych wynalazków, aby radykalnie zmienić sposób wykrywania oprogramowania ransomware, co pozwoliło uzyskać ogromną przewagę konkurencyjną nad innymi, tworząc silnik wykrywania anomalii trzeciej generacji (Gen 3) do zwalczania nowoczesnych zagrożeń. Zaowocowało to również kilkoma zgłoszonymi patentami, ponieważ w podejściu tym stosuje się znacznie więcej technik niż podstawowe obliczenia entropii Shannona. 

Ogólnie rzecz biorąc, rozwiązanie HPE osiąga następujące cele:

1. Techniki wykrywania dostosowujące się do rodzaju danych pozwalają na dynamiczne obliczanie wartości progowych, które uruchamiają ostrzeżenie o ataku, znacznie zwiększając dokładność i redukując liczbę fałszywych alarmów
2. Automatyczne wykrywanie ataków w czasie zbliżonym do rzeczywistego i odzyskiwanie danych w ciągu kilku minut, z niewiarygodnie niskim RPO
3. Zdolność do wykrywania aktywności ransomware nawet w już skompresowanych danych lub danych, które wyglądają jak tekst po kodowaniu „Base64” i (w przyszłości) celowo zaszyfrowanych przez użytkownika danych.
4. Zdolność do wykrywania szyfrowania, nawet jeśli w każdym pliku zaszyfrowane są bardzo małe ilości danych
5. Możliwość identyfikacji źródła infekcji (aż do woluminów na określonym serwerze) - co pozwala na jeszcze szybszą reakcję i kwarantannę
6. Bez względu na rozmiar zbioru danych - opiera się całkowicie na strumieniach w czasie rzeczywistym
7. Brak konieczności stosowania sygnatur złośliwego oprogramowania
8. Nie ma potrzeby korzystania z intensywnych obliczeniowo silników deduplikacji/kompresji w celu określenia unikalności lub w ogóle wymagających obliczeń - opóźnienie spowodowane mechanizmem detekcji wynosi tylko 1-2 mikrosekundy na każdą próbkę
9. Nie ma potrzeby używania migawek lub kopii zapasowych do skanowania, ponieważ nie zapewniałyby one wystarczającej szczegółowości do odzyskiwania
10. Brak użycia agentów, co oprócz tego, że jest łatwiejsze do wdrożenia, oznacza również, że jest odporne na złośliwe oprogramowanie atakujące agentów kopii zapasowych

Dalej poruszymy szczegółowo tylko kilka najciekawszych aspektów.

Dynamiczne obliczanie wartości progowych

Jest to jeden z kluczowych i unikalnych aspektów podejścia HPE. Typowym sposobem wykrywania szyfrowania są obliczenia entropii Shannona i porównanie z ustalonym progiem losowości.

Istnieje kilka wyzwań, które znacznie komplikują podejście do wykrywania ransomware z wykorzystaniem stałej wartości progu:

• Różne typy danych
• Czy dane są już skompresowane, czy nie?
• Podstępne sztuczki, takie jak kodowanie danych przy użyciu techniki „Base64”, sprawiają, że zaszyfrowane dane wydają się mieć mniejszą entropię (poprzez konwersję danych binarnych na tekst), co łamie systemy wykrywania oparte o stałe wartości progowe

Równanie entropii jest następujące:

Ma to ogromne znaczenie, ponieważ umożliwia nam dynamiczne dostosowywanie progów wykrywania w oparciu o różne typy danych. Na przykład, jeśli moc zbioru okaże się być normalnym tekstem, odpowiednio obniżymy próg wykrywania.

Mówiąc ogólnie, tworzymy histogram próbkowanych danych, nie przyjmujemy żadnych założeń co do rodzaju rozkładu statystycznego, którego należy się spodziewać, i obliczamy kardynalność danych za pomocą specjalnego algorytmu (to jest sekretna receptura producenta).

Reszta to zaawansowane, ale w większości standardowe rzeczy.

Następnie bierzemy wynikowe "n" dla tych konkretnych danych i dynamicznie obliczamy wartość progową przy użyciu idealnego rozkładu Bernoulliego (typowe w kręgach badawczych, wyjątkową rzeczą jest tutaj ciągłe ponowne obliczanie "n", które napędza wszystko inne).

Potem używamy zmodyfikowanego obliczenia entropii Shannona (które normalizuje dane w specjalny sposób) i przerobionego testu t-Studenta do testowania hipotez i sprawdzamy dane przesyłane strumieniowo w czasie rzeczywistym (plus trochę historycznego okna czasowego) i porównujemy je z tą dynamicznie zmieniającą się wartością progową. Skutkuje to niezwykle wysoką pewnością wykrywania, niezależnie od kodowania, typów danych itp. Aby jeszcze bardziej zwiększyć dokładność, rozwiązanie samo się uczy (początkowy czas uczenia jest konfigurowalny). Trening ten odbywa się automatycznie dla każdego strumienia, co dodatkowo zwiększa dokładność (wykonanie go globalnie dla całego systemu oznaczałoby utratę wyjątkowości określonego zachowania aplikacji).

RPO do ostatniej operacji sprzed rozpoczęcia szyfrowania przez oprogramowanie złośliwe oraz identyfikacja źródła infekcji

Inną ważną rzeczą, którą robimy, jest ścisłe powiązanie wykrywania ransomware z granularnym odzyskiwaniem danych. Główną technologią HPE jest Zerto, która umożliwia szybkie odzyskiwanie po awarii i ciągłą ochronę danych opartą na dzienniku zmian.

To, co zrobiliśmy, to włączenie naszej nowej technologii wykrywania do oprogramowania Zerto. Technologia ta stała się teraz dostępna w Zerto v10.

Umożliwia to, na przykład, identyfikację serwerów, a wręcz pojedynczych plików, które jako pierwsze zaczęły być szyfrowane, a następnie przywrócenie do ostatniej dobrej operacji zapisu sprzed rozpoczęcia szyfrowania przez oprogramowanie ransomware. Pozwala to firmom odzyskać dane i poddać je kwarantannie w najlepszy możliwy sposób, przy jak najmniejszym ryzyku i zakłóceniach.

Podsumowanie

Zachęcam wszystkich do zastanowienia się nad swoją obecną strategią odzyskiwania danych po ataku ransomware i - w świetle informacji przedstawionych w tym artykule - czy zastosowane rozwiązania byłyby rzeczywiście skuteczne w obliczu współczesnego ransomware?

Moim zdaniem HPE oferuje realistyczne podejście do trudnych problemów - wszystko to jest częścią szerszej strategii, która zawsze ma na celu rozwiązanie wszystkich wyzwań związanych z infrastrukturą i utrzymaniem ciągłości działania. Nie ma jednego lekarstwa na wszystko, natomiast rozwiązanie stworzone przez HPE może stać się podwaliną strategii zabezpieczania danych i procedur odzyskiwania po ich utracie.

Artykuł napisany na podstawie recoverymonkey.org: HPE Ransomware Detection and Recovery in Zerto 10: Sophistication that Works