Möglichkeiten zur Erkennung von Crypto- Ransomware durch File-Integrity-Monitoring

Abstract

Kryptographische Ransomwares sind in der modernen Bedrohungslandschaft eine ernstzunehmende Gefahr, die häufig zu systemweiten Ausfällen führt. Trotz umfangreicher Sicherheitsmaßnahmen können solche Angriffe nicht vollständig ausgeschlossen werden, weshalb die Erkennung eine maßgebliche Rolle spielt, um den Schaden zu begrenzen. In diesem Zusammenhang werden zunächst verschiedene Techniken zur Detektion von Crypto-Ransomware aus bestehender Literatur erarbeitet. Auf dieser Grundlage wird ein hostbasierter File-Integrity-Monitor für das Windows-Betriebssystem zu entwickeln, der bei einer erkannten Verschlüsselung in konfigurierten Verzeichnissen eine Alarmierung auslöst. Die Detektion erfolgt unter Nutzung der Entropie in Form der Chi-Square-Statistik und der Veränderung des Dateityps, wobei zu Beginn in einer Baseline die Werte der zu überwachenden Dateien als gutartig angenommene Referenz gespeichert und mit den Werten einer modifizierten Dateivariante verglichen werden. Als zusätzlichen Faktor werden versteckte Decoys in dem Dateisystem platziert. Auffällige Ereignisse werden von einem entworfenen Modell anhand von Regeln und Grenzwerten bewertet, die gegebenenfalls zu einer Alarmierung führen. In der Evaluation wurde der File- Integrity-Monitor basierend auf 15 Ransomware-Samples aus verschiedenen Familien getestet. Dabei konnte die Verschlüsselung in 14 der getesteten Fälle detektiert und eine entsprechende Alarmierung ausgelöst werden. In erster Linie ist jedoch eine mangelnde Robustheit des File-Integrity-Monitors gegenüber einer Manipulation durch Ransomware festgestellt worden. Die Merkmale und die Platzierung der Decoys erwiesen sich als effektive Möglichkeiten, auch wenn vereinzelt Schwachstellen und Ausnahmen kenntlich wurden.

Cryptographic ransomware is a serious threat in the modern threat landscape, frequently leading to system-wide outages. Despite extensive security measures, such attacks cannot be completely ruled out, making detection crucial to minimize damage. In this context various techniques for detecting crypto ransomware are initially compiled from existing literature to develop a host-based file integrity monitor for the Windows operating system that triggers an alert when encryption is detected in configured directories. Detection is performed using entropy in the form of the chi-square test and changes in file type. Initially the values of the files to be monitored are stored in a baseline, assumed to be benign, and are compared with the values of a modified file variant. Additionally hidden decoys are placed within the filesystem. A designed model evaluates discrepancies based on rules and thresholds, potentially triggering an alert. In the evaluation the file integrity monitor was tested using 15 ransomware samples from various popular families. The encryption of 14 samples was detected, and an alert was triggered. However, the monitor's lack of robustness against manipulation by ransomware was identified. The features and placement of the decoys proved to be effective, although a few vulnerabilities and exceptions were identified.