Søk

  1. Norway
  2. Innsikt
  3. Blogg
  4. Cybersikkerhet
  5. Kan en EDR-løsning oppdage løsepengevirus?

Kan en EDR-løsning oppdage løsepengevirus?

Blogg Cybersikkerhet

Share

Vårt forskningsteam har testet noen Endpoint Detection Respons (EDR)-løsninger. Hva de vil ha svar på: vil EDR-løsningene oppdage noen av de 23 eksemplene av løsepengevirus de blir utsatt for?

Bakgrunnen til vårt eksperiment

Vi ønsket å teste evnen til dagens moderne EDR-løsninger mot noen ulike typer av løsepengevirus.

For testing og automatisering fant vi det nyttig å bruke rThreat sitt «Breach and attack simulation framework”. Dette ga oss en samling løsepengevirus-eksempler som spenner seg fra kjente til mindre kjente. Fire EDR-løsninger ble valgt og konfigurert ved hjelp av de foreslåtte og anbefalte standardkonfigurasjonene, og agenter ble installert på en oppdatert Windows 10-datamaskin. Eksemplene ble kjørt og resultatet ble evaluert av “rThreat” som analyserte om filen ble kjørt, hvor lenge og om den ble stoppet.

Våre resultater for de 23 eksemplene viste at EDR-verktøyene fungerer etter forskjellige metoder og ikke handlet på samme måte fordi de ikke har de samme signaturdatabasene, noe som ikke var veldig overraskende. Selvfølgelig er det vanskelig å sammenligne EDR-løsninger fordi det er så mange faktorer som påvirker og så mange konfigurasjonsalternativer.

I ettertid innser vi at alle tester burde vært kjørt samtidig i tilfelle det er en deling av signaturer mellom de forskjellige løsningene. Det skal bemerkes at testene ble kjørt over to dager.

Observasjoner

EDR 1

18/23 løsepengevirus kunne ikke kjøres.

5/23 løsepengevirus ble kjørt i mer enn 10 sekunder, hvorav tre var kjente men obfuskerte, to ble stoppet.

3/23 løsepengevirus ble vellykket kjørt og krypterte filer, to kjente obfuskerte og én kjent.

Her kan vi se at 18 løsepengevirus ble stanset ved statisk analyse og fem ble oversett. Av de fem som kunne kjøres ble to stoppet av atferdsanalyse, og tre fikk eksekvere uhindret.

EDR 2

18/23 løsepengevirus kunne ikke kjøres

5/23 løsepengevirus ble kjørt i mer enn 10 sekunder (ikke de samme variantene som for EDR 1), alle kjente, alle stoppet av atferdsanalyse

Fra dette kan vi se at 18 prøver ble stanset ved statisk analyse og fem ble oversett, men de ble plukket opp ved atferdsanalyse.

EDR 3

22/23 løsepengevirus kunne ikke kjøres

1/23 løsepengevirus ble kjørt i mer enn 10 sekunder, en kjent men obfuskert variant, stoppet av atferdsanalyse.

Her kan vi se at 22 løsepengevirus ble stanset ved statisk analyse, og at den som kom gjennom ble oppdaget av atferdsanalyse.

EDR 4

23/23 løsepengevirus ble kjørt i mer enn 10 sekunder, alle deretter stoppet av EDR.

Fra dette kan vi se at denne EDR-konfigurasjonen tillot kjøring av samtlige løsepengevirus, men de ble alle stoppet umiddelbart. Noe som tyder på at denne løsningen ser ut til å stole mest på atferdsanalyse.

Kan en EDR-lösning oppdage løsepengevirus? konklusjon: hvilken side lyktes?

På et teknisk nivå viste vårt lille eksperiment at kommersielle EDR / EDP-løsninger klarte å stoppe utførelsen av de fleste eksempler på løsepengevirus. Selv når noen eksempler kom gjennom den statiske analysen, ble de generelt plukket opp gjennom atferdsanalyse.

Suksessen til disse løsningene er veldig avhengig av konfigurasjonene, og det må utvises forsiktighet for å velge og teste de mest effektive konfigurasjonene for dem.

Imidlertid, i en verden der operativsystemer og applikasjoner stadig har nye sårbarheter som kan utnyttes og funksjoner som kan misbrukes, blir det en vanskelig oppgave å opprettholde regler for å forhindre og oppdage dette. Løsepengevirus-grupperinger vil stadig utvikle seg og dermed finne nye måter å kjøre sin ondsinnede kode på. Dette vil fortsette å skape et miljø der både forsvarere og angripere kjemper side om side.

Målrettede angrep blir stadig mer populære, med angripere som navigerer rundt i et nettverk og bruker en rekke verktøy for rekognosering og eksport av data. Det er derfor av stor verdi å sikre at denne oppførselen oppdages før den faktiske krypteringen finner sted.
Så har vi i tillegg “meglingstjenestene”. Disse trusselaktørene finner en måte å få tilgang til organisasjonens interne nettverk og deretter selge det på mørke nettfora. Hvis denne første aktiviteten oppdages tidlig, kan et løsepengevirus-angrep potensielt forhindres.
Gitt at løsepengevirus-grupper ikke bare følger klienter, men krypterer nettverksenheter og nylig også virtuelle harddisker, er det viktig å implementere løsninger for å beskytte disse områdene også. Alt dette demonstrerer kompleksiteten i å forsvare seg mot løsepengevirus, og at det foreløpig ikke er noen enkel løsning på problemet.

Gitt den store økningen i utbetaling som løsepengevirus-aktørene nå krever, og det faktum at det er så mange organisasjoner med tilstedeværelse på internett, kan tyde på at trusselaktørene ikke en gang trenger høy suksess for å forsørge seg selv ordentlig. Å sikre at det ikke er noen enkel måte å få tilgang til det interne nettverket kan hjelpe organisasjonen din til å være et mindre attraktivt mål for løsepengevirus-grupper.

 

Les om hvordan løsepengevirus oppsto her

Les om utviklingen av løsepengevirus her

Vil du vite mer om løsepengevirius, les vår Security Navigator

Incident Response Hotline

Står du overfor en cyberhendelse akkurat nå?

 

Kontakt vår globale 24/7/365 tjeneste incident response hotline.