Jak vytvářet a kam umísťovat tzv. canary files

Jako ochrana před zcela novými druhy ransomware resp. jejich detekcí lze použít tzv. techniku canary files.

Ta spočívá v tom, že se do adresářů, které obsahují citlivá data, umístí návnada v podobě několika málo souborů, a pokud dojde k jejich změně, tak je jasné, že došlo k zavlečení ransomware.

Problém je, že některé druhy ransomware, jako např. Cerber, jsou schopny tyto soubory detekovat a úspěšně se jim vyhnout. Aby detekce takového ransomware byla skutečně účinná, je vhodné používat dva typy návnad. Jednu, která je stejného typu a má přibližně stejnou velikost a název jako ostatní soubory v dané složce, a druhou, která má zcela jiný formát a má jen shodnou příponu.

Druhá by měla zajistit, že ransomware nebude soubory v daném adresáři vůbec šifrovat a první pak, že kdyby se k tomu přeci jen rozhodl, tak i přesto bude detekován. Vzhledem k tomu, že ransomware se musí rozhodnout, jaké soubory začne šifrovat jako první, je zřejmé, že těch návnad musí být v daném adresáři více.

Ransomware šifruje buď abecedně anebo podle data, tj. buď začne jako první šifrovat soubory s nejstarším datem anebo naopak začne od těch nejaktuálnějších. Dobré je proto návnady pravidelně aktualizovat, a zajistit, že ať už bude ransomware šifrovat v jakémkoliv pořadí, tak vždy přijdou jako první na řadu naše návnady. Samozřejmě, pokud by ransomware šifroval soubory zcela náhodně, tak nám žádná návnada moc nepomůže.

Zvýše uvedeného vyplývá, že návnady lze považovat jen za jakýsi doplněk k antimalware řešení a HIPS, které by mělo ransomware detekovat ještě dříve, než se do nějaké návnady vůbec zakousne, ale v rámci vícevrstvé ochrany může mít smysl.

A co vy, máte s návnadami nějaké zkušenosti?


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Jak vytvářet a kam umísťovat tzv. canary files” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: