Home / Unlabelled / Servicios "Canary" Para Detener La Ejecución De Ransomware

Servicios "Canary" Para Detener La Ejecución De Ransomware

Frecuentemente los desarrolladores de ransomware detienen varios servicios/eliminan varios procesos antes de comenzar a cifrar. Por ejemplo Ryuk: 

net stop avpsus /ynet stop McAfeeDLPAgentService /ynet stop
 mfewc /ynet stop BMR Boot Service /ynet stop NetBackup BMR
 MTFTP Service /y

Al hilo de ésto, Ollie Whitehouse de NCC Group ha publicado SWOLLENRIVER, una interesante herramienta bajo licencia AGPL que implementa una serie de procesos canarios que se controlan entre sí. Si estos servicios se detienen (a través de net stop o similar) y no durante el cierre del equipo, disparará un token Canary DNS e hibernará el host.

Los Canary Tokens son un concepto muy interesante en el mundo Deception/honeypots. Es como los clásicos web bugs que se incluían en los correos electrónicos, imágenes transparentes que se cargaban mediante una URL única embebida en una imagen tag, alertando al "cazador" que está monitorizando las peticiones GET contra un sitio.

Hay tokens de muchos otros tipos: acceso o lectura a ficheros, peticiones a bases de datos, patrones en logs, ejecución de procesos y, entre ellos, el token DNS que no es otra cosa que un nombre de dominio único que se puede resolver en Internet y, cualquiera que intente resolver este nombre de dominio, activará una alerta.

Para poder generar este tipo de alertas:

New-Service -Name "MSSQL" -BinaryPathName "C:\Program Files\Microsoft SQL Server\sqlserver.exe"

Al hacer esto, conseguiremos:

  • Minimizar el impacto/probabilidad de un cifrado exitoso
  • Obtener más opciones de recuperación de la clave de cifrado de la RAM
Repositorio: https://github.com/nccgroup/KilledProcessCanary
Fuente: HackPlayers


Via: feedproxy.google.com
Servicios "Canary" Para Detener La Ejecución De Ransomware Servicios "Canary" Para Detener La Ejecución De Ransomware Reviewed by Anónimo on 21:05 Rating: 5

Tags