In kleinen und mittleren Unternehmen können trotz mehrschichtiger Sicherheit die Unternehmensnetzwerke gefährdet sein, wenn die Bedrohung aus bekannten und vertrauenswürdigen Quellen kommt, etwa Partner, Drittanbieter, Kontakte oder auch den Mitarbeitern selbst. Angesichts dieser Aussichten könnten Endpunktlösungen mit gutem Verhaltensmonitoring und Anwendungskontrolle die letzte Verteidigungslinie gegen Ransomware darstellen.
Wie funktioniert das Verhaltensmonitoring?
Dazu gibt Trend Micro in seinem Blog folgende ausführlichen Erläuterungen:
Verhaltensmonitoring verfolgt und blockt jede „Anomalie“ oder ungewöhnliche Verhaltensweise bzw. Modifikation. Es ermöglicht die proaktive Erkennung und Verhindern der Ausführung von Ransomware und Crypto-Ransomware, basierend auf bekannten und nicht bekannten Taktiken oder Fähigkeiten. Dazu gehören Verschlüsselung, Prozessmanipulation, Ablegen von Dateien und die Kommunikation mit C&C-Servern. Auch Info Stealer-Varianten wie RAA Ransomware und MIRCOP können geblockt werden.
Ein gutes Verhaltensmonitoring-Tool kann jedes Programm beenden, das bestimmte Dateien in Systemen verschlüsselt. Gehört ein laufendes Programm nicht zu einer Whitelist, oder wird es mit Ransomware in Zusammenhang gebracht, sollte das Tool in der Lage sein, sofort dessen Ausführung zu unterbrechen.
Auch entdeckt ein gutes Verhaltensmonitoring-Tool Skripts, die darauf zugeschnitten sind, Mail-Scanner zu umgehen und bösartigen Code zu verschleiern (so geschehen mit Locky, TeslaCrypt 4.0 und CryptoWall 3.0). Trend Micros Tool erkennt und blockt Ransomware, die VBScript (Cerber und Locky-Varianten) oder JScript (RAA) verwendet.
Manche Erpressersoftware-Familien löschen Shadow-Kopien, eine normale Verhaltensweise in manchen Betriebssystemen, die daher nicht gleich geblockt werden kann. Doch sollte ein Tool in der Lage sein, diese Routine als Indikator für eine mögliche Ransomware-Infektion zu markieren.
Andere Ransomware-Varianten können auch rechtmäßige Programme, Services oder Frameworks missbrauchen, um einer Entdeckung und Entfernung vom System zu entgehen. Ein Beispiel dafür ist PowerWare und der Missbrauch der Windows PowerShell. Ein gutes Verhaltensmonitoring muss bestimmte Events suchen und verhindern, so etwa das bösartige Verhalten von normalen Programmen/Services/Frameworks. Auch sollte es eine Policy haben, die angibt, welche Dateien nicht auf dem System ausgeführt werden dürfen.
Normale Nutzer werden nicht immer gleich über eine Ransomware-Infektion informiert, vor allem wenn der bösartige Code in einen normalen Prozess wie Explorer.exe eingeschleust wird. In solchen
Fällen kann Verhaltensmonitoring helfen, denn Verhaltensweisen wie das Einschleusen oder Hooking-Routinen können markiert und dann geblockt werden.
Die Bedeutung der Anwendungskontrolle (Whitelisting)
Die nützliche Funktion der Anwendungskontrolle hindert Ransomware an der Ausführung auf Systemen und verhindert weiteren möglichen Schaden für Backups usw. Whitelisting erlaubt nur das Ausführen von nicht bösartigen Routinen/Dateien/Prozessen.
Es ist die Aufgabe der IT-Admins, die Liste der Programme/Dateien/Prozesse zusammen zu stellen, die auf dem System laufen dürfen. Diese Liste kann auf einem Inventar der vorhandenen Endpunkte basieren, auf Kategorien, Anbietern, Apps oder anderen dynamischen Reputationsattributen. Darf eine App ausgeführt werden, so ist dies auch den nachfolgenden Versionen und Updates erlaubt. Admins können eine ausführliche Liste sicherer Apps, nutzen, von Systemdateien bis zu Desktop- und mobilen Apps.
Programme/Dateien/Prozesse können aber auch auf bestimmten Dateipfaden verboten werden. Admins erstellen Regeln für das Blockieren in bestimmten Verzeichnissen. Einige Ransomware-Varianten legen Kopien in %Temp%- und %User Temp%– Verzeichnissen ab. Dies sind Pfade, die die meisten Schädlinge nutzen. Ransomware wie JIGSAW nutzt %Application Data% und %AppDataLocal%.
Keine 100% Sicherheit möglich!
Es gibt so viele Möglichkeiten, wie Ransomware auf die Systeme eines Unternehmens gelangen kann. Daher bedarf es einer mehrschichtigen Verteidigung, die Endpunkte, Netzwerke und Server schützt. Verhaltensmonitoring und Anwendungskontrolle stellen nur zusätzliche Schutzschichten dar für den Fall, dass Ransomware durch das Gateway Level gelangt.
Die Schutzsoftware von Trend Micro
Trend Micros Smart Protection Suites kann über Verhaltensmonitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern Die Anti-Ransomware-Funktion erkennt und blockt die Ausführung der Malware
Mithilfe des Deep Discovery™ Email Inspector können Ransomware-bezogene Emails und bösartige Anhänge erkannt und geblockt werden. Die anpassbare Sandbox erkennt auch Varianten, die Makros nutzen. IP- und Web-Reputation mindern das Risiko von Ransomware auf Mail- und Web-Ebene.
InterScan™ Web Security scannt nach Zero Days und Browser Exploits. Die IP- und Web- Reputationsfunktionen können die Gefahr von Infektionen auf Mail- und Gateway-Level mindern.
Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.
Weiterführende Links:
IT-Sicherheits-Studie: Deutsche Unternehmen sind besonders verwundbar
blog.trendmicro.de: Endpoint-Lösungen können Unternehmen vor Ransomware schützen
