Lista wynalazków
Prezentacja wynalazku
Uniwersalny system wczesnej detekcji i unieszkodliwiania złośliwego oprogramowania typu ransomware
autorzy: TiMSI Sp. z o. o., Michał Glet (Wojskowa Akademia Techniczna), Kamil Kaczyński (Wojskowa Akademia Techniczna)
Wynalazek stanowi unikatowe w skali światowej rozwiązanie do wykrywania aktywności oprogramowania ransomware na możliwe wczesnej fazie ataku. Jedną z jego istotnych cech jest możliwość wykrywania nieznanych wcześniej wersji oprogramowania ransomware. Utworzony mechanizm wykrywania aktywności oprogramowania ransomware na wczesnym etapie jego aktywności składa się z trzech głównych modułów: • modułu zarządzania, • modułu wskaźników, • modułu obrony oraz ataku. Najważniejszym, w kontekście wykrywania aktywności oprogramowania ransomware, jest moduł wskaźników. W jego skład wchodzi zestaw unikatowych mechanizmów (wskaźników), których zadaniem jest aktywne monitorowanie procesów oraz zasobów systemu operacyjnego Windows pod kątem aktywności oprogramowania ransomware. Z technicznego punktu widzenia, w module tym wykorzystano wiele zaawansowanych oraz niskopoziomowych rozwiązań takich jak np.: • wstrzykiwania kodów do procesów systemowych – process injection, • wstrzykiwania kodów do bibliotek DLL – DLL injection, • przesłaniania wybranych funkcji z systemowych bibliotek DLL, • analiza pakietów IRP, • monitorowanie drzewa procesów systemowych, • filtry sterowników. Z biznesowego punktu widzenia, w module wskaźników wykorzystano wiele zaawansowanych technik, czasami unikatowych w kontekście wykrywania aktywności oprogramowania ransomware, np.: • metody badania poziomu losowości danych – np. entropia Shannona, • metody kategoryzowania danych – np. z wykorzystaniem rodziny funkcji z rodziny LSH, • pułapki typu honeypot, • analiza eskalacji uprawnień procesów, • analiza wywołań API plikowego, • analiza wywołań API do obsługi kryptografii, • analiza wywołań API do obsługi kryptografii, • analiza wywołań nietypowych funkcji API, • analiza wywołań API do obsługi wątków oraz procesów, • analiza wywołań API do obsługi połączeń sieciowych, • analiza wywołań API do zarządzania ustawieniami systemowymi. Moduł obsługi wskaźników składa się w wielu, niezależnie od siebie działających mechanizmów detekcji. Każdy z nich, w przypadku wykrycia podejrzanej aktywności, wysyła sygnały m.in. do modułu zarządzania. Moduł ten analizuje otrzymane sygnały i podejmuje decyzję o dalszym sposobie obsługi wykrytego zagrożenia. Możliwe działania to m.in.: • informacja do użytkownika o wykrytej potencjalnej aktywności oprogramowania ransomware, • unieszkodliwienie (zatrzymanie) podejrzanego procesu wraz z całym drzewem procesów z nim powiązanych – z wykorzystaniem modułu obrony i ataku, • aktywne, dedykowane monitorowanie podejrzanego procesu, • oczekiwanie na sygnały z innych wskaźników. Moduł zarządzania odpowiedzialny jest za m.in.: • zarządzanie pracą modułu wskaźników, • odbieranie i analizowanie sygnałów z modułu wskaźników, • obsługę modułu obrony i ataku, • komunikację z użytkownikiem. Ostatnim modułem jest moduł obrony oraz ataku. Moduł ten odpowiedzialny jest m.in. za: • zapewnienie bezpiecznych mechanizmów asynchronicznej komunikacji pomiędzy wskaźnikami oraz wskaźnikami i modułem zarządczym – każdy wskaźnik monitoruje aktywność innych wskaźników, • zapewnienie mechanizmów do aktywnego monitorowania procesów uruchamianych w systemie Windows wraz z zależnościami między nimi, • zapewnienie skutecznych mechanizmów do zatrzymywania procesów ransomware wraz ze wszystkimi procesami powiązanymi, • zapewnienie mechanizmu monitorowania aktywności procesów wynalazku wraz z ich ochroną przed zatrzymaniem, z możliwości wznawiania ich pracy. Podsumowując, utworzony wynalazek, stanowiący mechanizm wykrywania aktywności oprogramowania ransomware na wczesnym etapie aktywności, stanowi unikatowe podejście do problemu niszczenia danych cyfrowych przez cyberprzestępców. Ataki z wykorzystaniem oprogramowania ransomware stanowią bardzo poważne zagrożenia dla danych składowanych na zaatakowanym systemie komputerowym. Skuteczny atak ransomware powoduje w większości przypadków trwałą utratę danych użytkownika. Wykrycie aktywności ataku ransomware na wczesnym etapie ma na celu minimalizować tę stratę – tylko niewielka część danych użytkownika zostaje zaszyfrowana. Wynalazek, dzięki zastosowaniu unikatowego podejścia oraz niestandardowych technik wykrywania aktywności oprogramowania ransomware, stanowi unikatowe rozwiązanie w skali światowej, umożliwiające wykrywanie ataków z wykorzystaniem nieznanych wersji oprogramowania ransomware. Jest to główna cecha odróżniając wynalazek np. od powszechnie dostępnego oraz używanego oprogramowania antywirusowego.
IT
Medal
Srebrny Medal
Ochrona własności intelektualnej
Know how
poziom gotowości technologicznej
TRL 4 skala laboratoryjna