viernes, octubre 14, 2016

Latch ARW: Una nueva herramienta contra el Ransomware #Ransomware @elevenpaths #Latch

El ransomware sigue siendo un gran problema entre los usuarios de sistemas Microsoft Windows. Con la simple idea de ser un programa que se ejecuta con los privilegios de la cuenta del usuario para buscar todos los documentos y cifrarlos, ha hecho de la extorsión un verdadero negocio, llegando a afectar a empresas y organizaciones como Hospitales. En ElevenPaths hemos estado trabajando en cómo poder usar nuestras tecnologías para ayudar a los usuarios con esta labor, y durante el pasado Security Innovation Day 2016 anunciamos Latch ARW para proteger las carpetas con documentos importantes dentro de un sistema Microsoft Windows contra los ataques del ransomware.

Figura 1: Latch ARW. Una nueva herramienta con el Ransomware

El concepto es sencillo y se basa en la idea de proteger carpetas utilizando Latch como 2º Factor de Autorización para permitir que el documento sea accesible o no por los programas - y por ende por cualquier programa malicioso como un ransomware -. Esta idea no es nueva, y ya en el primer Latch Plugin Contest hubo una aproximación a la solución con LtCsSecure, que implementaba una primera idea sobre este concepto.


Figura 2: PoC para Latch Plugin Constest de LtCsSecure

Seguimos con esa idea, y desde el laboratorio de ElevenPaths se estuvo trabajando en una PoC en la que se utilizaba un servicio que daba y quitaba los permisos al usuario controlados por medio del estado de un Latch. Es decir, cuando el usuario quería acceder a un documento, le tenía que pedir a un servicio que le diera los permisos y este servicio comprobaba antes si el Latch estaba abierto o cerrado.

Latch ARW

La idea anterior funcionó bastante bien, pero no acaba de tener la usabilidad y consistencia que buscábamos para esta herramienta, pero nos sirvió de acicate para terminar haciendo Latch ARW. En este caso la aproximación es distinta, ya que en lugar de jugar con los permisos, Latch ARW funciona como un driver de Microsoft Windows en modo kernel que monitoriza las operaciones de I/O para identificar si se producen sobre una carpeta protegida y si son de escritura o borrado. El driver comunica a su vez con un servicio de Microsoft Windows que se encarga de consultar el estado de la autorización contra los servidores de Latch y llevar un inventario de carpetas protegidas. 
El interfaz de usuario de pareo y despareo, y proteger y desproteger una carpeta está integrado en el Explorador de Microsoft Windows. Manejándose, de forma sencilla mediante menús contextuales directamente sobre las carpetas. Con esta arquitectura nos quedamos muy satisfechos del resultado que funciona tal y como se puede ver en el siguiente vídeo. 


Figura 4: Funcionamiento de Latch ARW con Cryptolocker

Si os fijáis en el proceso que se muestra en el vídeo, una vez que las carpetas están protegidos con Latch, los archivos están disponibles para lectura, pero no para borrado o escritura, lo que hace que el proceso sea bastante usable. Además, si un ransomware quisiera quitar la protección de Latch ARW, no podría hacerlo porque está protegido por el propio Latch, así que si el usuario no abre el pestillo el documento está a salvo.

Pruebas en campo de batalla real

Por supuesto, quisimos probarlo en un entorno real, así que le lanzamos una decena de muestras de ransomware para ver el comporamiento de Latch ARW con todos ellos y el resultado fue más que satisfactorio, ya que ninguno fue capaz de tocar ni uno solo de los documentos que estaban en las carpetas protegidas. 

Figura 5: Lanzando CTB-Locker al sistema

Una opción más que interesante es proteger las carpetas donde guardas tus copias de seguridad con Latch, ya que puedes de esta forma controlar en todo momento que nadie pueda escribir en ellas. Cuando llegue el momento de hacer una nueva copia de seguridad, abres el pestillo, la haces, y vuelves a cerrar el pestillo después para que todo siga protegido.

Figura 6: Las carpetas protegidas por Latch ARW permanecen intactas

Latch ARW va a estar disponible en unos días. Es una herramienta gratuita como Latch para Windows o Latch para WordPress, así que podrás usarlo. Aún está en fase beta, por lo que si localizas cualquier cosa te agradeceremos que nos lo comuniques a través de nuestra Comunidad de ElevenPaths.  Y si te animas con nuevas ideas, ya sabes que hemos abierto una nueva convocatoria del Latch Plugin Contest.

Saludos Malignos!

7 comentarios:

  1. Gracias en verdsd me parece muy útil de forma preventiva voy a colocar l herramienta a pruebas

    ResponderEliminar
  2. A esperar con ansias esta increíble herramienta, muchas gracias al equipo de ElevenPaths.

    ResponderEliminar
  3. A esperar con ansias esta increíble herramienta, muchas gracias al equipo de ElevenPaths.

    ResponderEliminar
  4. Ok, makey listo para probarla. Salu2

    ResponderEliminar
  5. No me permite bajarlo :(

    ResponderEliminar
  6. Hay alguna manera de hacerlo funcionar en Windows 7? Tuve que bajar del 10 al 7 por problemas con los drivers de Nvidia.

    ResponderEliminar
  7. Buenas noches estoy probando la aplicación y me parece muy buena. He encontrado un pequeño error, cuando las carpetas están bloqueadas e intentas crear una carpeta nueva, crea 4 carpetas nuevas: Nueva carpeta, Nueva carpeta(2), Nueva carpeta(3) y Nueva carpeta(4).
    Saludos.

    ResponderEliminar