Lista wynalazków

Uniwersalny system wczesnej detekcji i unieszkodliwiania złośliwego oprogramowania typu ransomware

autorzy: TiMSI Sp. z o. o., Michał Glet (Wojskowa Akademia Techniczna), Kamil Kaczyński (Wojskowa Akademia Techniczna)

Wynalazek stanowi unikatowe w skali światowej rozwiązanie do wykrywania aktywności oprogramowania ransomware na możliwe wczesnej fazie ataku. Jedną z jego istotnych cech jest możliwość wykrywania nieznanych wcześniej wersji oprogramowania ransomware. Utworzony mechanizm wykrywania aktywności oprogramowania ransomware na wczesnym etapie jego aktywności składa się z trzech głównych modułów: • modułu zarządzania, • modułu wskaźników, • modułu obrony oraz ataku. Najważniejszym, w kontekście wykrywania aktywności oprogramowania ransomware, jest moduł wskaźników. W jego skład wchodzi zestaw unikatowych mechanizmów (wskaźników), których zadaniem jest aktywne monitorowanie procesów oraz zasobów systemu operacyjnego Windows pod kątem aktywności oprogramowania ransomware. Z technicznego punktu widzenia, w module tym wykorzystano wiele zaawansowanych oraz niskopoziomowych rozwiązań takich jak np.: • wstrzykiwania kodów do procesów systemowych – process injection, • wstrzykiwania kodów do bibliotek DLL – DLL injection, • przesłaniania wybranych funkcji z systemowych bibliotek DLL, • analiza pakietów IRP, • monitorowanie drzewa procesów systemowych, • filtry sterowników. Z biznesowego punktu widzenia, w module wskaźników wykorzystano wiele zaawansowanych technik, czasami unikatowych w kontekście wykrywania aktywności oprogramowania ransomware, np.: • metody badania poziomu losowości danych – np. entropia Shannona, • metody kategoryzowania danych – np. z wykorzystaniem rodziny funkcji z rodziny LSH, • pułapki typu honeypot, • analiza eskalacji uprawnień procesów, • analiza wywołań API plikowego, • analiza wywołań API do obsługi kryptografii, • analiza wywołań API do obsługi kryptografii, • analiza wywołań nietypowych funkcji API, • analiza wywołań API do obsługi wątków oraz procesów, • analiza wywołań API do obsługi połączeń sieciowych, • analiza wywołań API do zarządzania ustawieniami systemowymi. Moduł obsługi wskaźników składa się w wielu, niezależnie od siebie działających mechanizmów detekcji. Każdy z nich, w przypadku wykrycia podejrzanej aktywności, wysyła sygnały m.in. do modułu zarządzania. Moduł ten analizuje otrzymane sygnały i podejmuje decyzję o dalszym sposobie obsługi wykrytego zagrożenia. Możliwe działania to m.in.: • informacja do użytkownika o wykrytej potencjalnej aktywności oprogramowania ransomware, • unieszkodliwienie (zatrzymanie) podejrzanego procesu wraz z całym drzewem procesów z nim powiązanych – z wykorzystaniem modułu obrony i ataku, • aktywne, dedykowane monitorowanie podejrzanego procesu, • oczekiwanie na sygnały z innych wskaźników. Moduł zarządzania odpowiedzialny jest za m.in.: • zarządzanie pracą modułu wskaźników, • odbieranie i analizowanie sygnałów z modułu wskaźników, • obsługę modułu obrony i ataku, • komunikację z użytkownikiem. Ostatnim modułem jest moduł obrony oraz ataku. Moduł ten odpowiedzialny jest m.in. za: • zapewnienie bezpiecznych mechanizmów asynchronicznej komunikacji pomiędzy wskaźnikami oraz wskaźnikami i modułem zarządczym – każdy wskaźnik monitoruje aktywność innych wskaźników, • zapewnienie mechanizmów do aktywnego monitorowania procesów uruchamianych w systemie Windows wraz z zależnościami między nimi, • zapewnienie skutecznych mechanizmów do zatrzymywania procesów ransomware wraz ze wszystkimi procesami powiązanymi, • zapewnienie mechanizmu monitorowania aktywności procesów wynalazku wraz z ich ochroną przed zatrzymaniem, z możliwości wznawiania ich pracy. Podsumowując, utworzony wynalazek, stanowiący mechanizm wykrywania aktywności oprogramowania ransomware na wczesnym etapie aktywności, stanowi unikatowe podejście do problemu niszczenia danych cyfrowych przez cyberprzestępców. Ataki z wykorzystaniem oprogramowania ransomware stanowią bardzo poważne zagrożenia dla danych składowanych na zaatakowanym systemie komputerowym. Skuteczny atak ransomware powoduje w większości przypadków trwałą utratę danych użytkownika. Wykrycie aktywności ataku ransomware na wczesnym etapie ma na celu minimalizować tę stratę – tylko niewielka część danych użytkownika zostaje zaszyfrowana. Wynalazek, dzięki zastosowaniu unikatowego podejścia oraz niestandardowych technik wykrywania aktywności oprogramowania ransomware, stanowi unikatowe rozwiązanie w skali światowej, umożliwiające wykrywanie ataków z wykorzystaniem nieznanych wersji oprogramowania ransomware. Jest to główna cecha odróżniając wynalazek np. od powszechnie dostępnego oraz używanego oprogramowania antywirusowego.