Go to Top

0-day Ransomware vs Sophos

Ransomware ist bei Hackern momentan im Trend und die Anzahl der monatlichen Vorfälle nimmt stark zu. Eine neue Ransomware wird aber meist schon eine Woche nach dem ersten Auftreten von gängigen Antiviren Programmen erkannt, doch innerhalb dieses Zeitraums ist man als Nutzer mit Leichtigkeit angreifbar. Viren oder Exploits in diesem Zustand werden als 0-days bezeichnet und bilden ein enormes Sicherheitsrisiko.

Um dies zu zeigen habe ich, Dominik Roth, 16 Jahre, in meinem Schülerpraktikum bei Data-Sec versucht eine 0-day Ransomware zu entwickeln. Dies soll zeigen, dass jeder, der ausreichend Kenntnissen über Computer hat, dazu in der Lage ist, solch eine Ransomware zu entwickeln.

Ich war am zweiten Tag meines Praktikums mit der Ransomware und allen Tests fertig.

Meine Ransomware:

Die “CrypTron” getaufte Ransomware sollte zunächst einen Kryptografischen Schlüssel generieren und diesen auf einen Server hochladen, auf den ich Zugriff habe. CrypTron sollte dann das lokale Dateisystem scannen und Bilder, Dokumente und andere persönliche Daten finden, eine mit dem kryptografischen Schlüssel verschlüsselte Kopie erstellen und daraufhin das Original löschen. Schließlich sollte ein Entschlüsselungsprogramm installiert werden, woraufhin der Computer neustartet und dem Nutzer seine verschlüsselten Daten mitsamt einer Drohbotschaft und einem Eingabefeld zum Eingeben des kryptografischen Schlüssels präsentiert. Diesen könnte der Nutzer dann in einem Real-Life-Szenario teuer erwerben.

Das Ergebnis:

Ich habe die Datei (CrytpTron) auf Virustotal.com hochgeladen und sie somit online mit 61 Antiviren Scannern gescannt. Das Ergebnis: Alle gängigen Antiviren Systeme versagten, u.a. Avira, Avast, AVG, G-Data, McAfee und Sophos. Nur 4 der 61 Virenscannern erkannten die Datei als gefährlich an: CrowdStrike Falcon (ML), Jiangmin, NANO-Antivirus und Zillya, jedoch erkannte keiner dieser Scanner die Datei als Ransomware, sondern meldeten fälschlicher Weise den Fund eines Trojaners. Nachdem ich CrypTron in einen .msi Windows Installer verpackte, wurde sie von keinem der Scanner erkannt.

Daraufhin begann die Testreihe:

Test 1: (Sophos Endpoint)

Sophos Endpoint ist ein professioneller Antivirenscanner und findet weite Verbreitung.

Ich habe Sophos Endpoint auf einem Computer installiert und die Datei gescannt: Kein Befund. Daraufhin habe ich die Ransomware auf den Computer losgelassen. Der Computer startete neu, alle Daten waren verschlüsselt, die Drohbotschaft wurde angezeigt und Sophos zeigte keine Reaktion.

Test 2: (Sophos Intercept X ohne CryptoGuard)

Sophos Intercept X ist ein System von Sophos zur Entdeckung von 0-Days durch verhaltensbasierte Analyse.

Nachdem ich Sophos Intercept X installiert hatte, führte ich CrypTron aus. Der Computer startete neu und alle Daten wurden erfolgreich verschlüsselt. Auch die Drohbotschaft wurde erfolgreich angezeigt und Sophos Intercept X startete nicht.

Test 3: (Sophos Intercept X mit CryptoGuard)

CryptoGuard ist eine Funktion des Sophos Intercept X, welche explizit darauf spezialisiert ist 0-Day Ransomware zu bekämpfen.

Kurz nachdem CrypTron gestartet wurde zeigte Windows eine Berechtigung: “Sophos CleanScan gestartet” und 10 Sekunden später “Ransomware blockiert in [Dateipfad meiner Ransomware]”. Daraufhin startete der Computer neu. Unsere Erwartung war, dass CrypTron anfangen würde die Daten zu verschlüsseln und nach ein paar Daten CryptoGuard einspringen und den Vorgang abbrechen würde, jedoch war keine einzige verschlüsselte Datei auf dem Computer zu finden und alle Persönlichen Daten waren noch vorhanden. Die Drohbotschaft wurde immer noch angezeigt, es wurde aber kein Schaden angerichtet.

Eine spätere Root-Cause-Analyse zeigt, dass das Sophos System den Computer geblockt hatte, um die Ausbreitung der Ransomware auf andere Computer zu verhindern, dann den Computer bereinigte und gerade einmal 10 Sekunden später den Computer wieder unblockte.

Nachdem ich diese Runde gegen das Sophos verloren hatte, versuchte ich CrypTron weiter zu entwickeln, um CryptoGuard zu besiegen, aber ich scheiterte kläglich. Das beste Ergebnis, welches ich erzielen konnte, waren 2 verschlüsselte Dateien, die Originale blieben aber unversehrt.

, , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.