domingo, 30 de julio de 2017

ShieldFS: un sistema de ficheros contra el ransomware

ShieldFS es un sistema de ficheros que nace fruto de la investigación de un equipo del Politécnico de Milán. Durante meses, recolectaron datos de millones de peticiones de I/O realizadas por aplicaciones legítimas en sistemas operativos limpios, y por ransomware en equipos infectados. Esto permitió ver las diferencias entre ambos y establecer modelos de comportamiento.


En general, al comparar con otros procesos, en el comportamiento típico del ransomware se realizan más lecturas, escrituras y cambios de nombre a un fichero, además de generar alta entropía en las operaciones de escritura. Hay un análisis pormenorizado de esta comparativa en la tabla 3 de su estudio.

Con estos datos en la mano, es posible reconocer el ransomware nada más comience su actividad maliciosa. Para esto, se diseñó una capa de protección y sistema de monitorización de procesos que se introdujo cono driver en el sistema de ficheros nativo de Windows. Al iniciarse un proceso desconocido, es monitorizado en sus primeros pasos en el sistema hasta que se puede discernir por su comportamiento que es seguro. En caso de detectar actividad propia del ransomware, el proceso queda bloqueado.
Comparación de actividad entre procesos benignos y ransomware. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf

Pero la funcionalidad del sistema de ficheros va más allá de este bloqueo. Además, se
incluye un sistema de respaldo que mantiene copias recientes de los ficheros. De esta manera, tras la detección del ransomware, todos los ficheros escritos por este se sustituyen por un respaldo reciente en cuestión de segundos.

Esto es especialmente útil dado que, según los investigadores, en ocasiones los rescates se pagan simplemente porque los ficheros recientes son más valiosos para los usuarios. Los sistemas de respaldo tradicionales deben llegar a un compromiso entre rendimiento, espacio y actualidad, y es complicado que tengan cambios recientes. Esta dificultad es eludida por ShieldFS al trabajar a más bajo nivel.
Funcionamiento de ShieldFS. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf

Para las pruebas del sistema, se llevaron a cabo infecciones de tres muestras de ransomware (TeslaCrypt, Critroni y ZeroLocker) en equipos reales de usuarios voluntarios detectando y restaurando la actividad maliciosa con éxito.

Sin embargo, el sistema tiene limitaciones. Por ejemplo, un atacante podría camuflar la actividad maliciosa inyectando código en los procesos benignos del sistema y dejando que cada uno de estos haga una pequeña parte del cifrado malicioso, camuflado así su actividad.

ShieldFS fue presentado el pasado diciembre en la Annual Computer Security Applications Conference de Los Angeles y el pasado miércoles en la Black Hat en Las Vegas. Aunque de momento pertenece al mundo académico, estaremos atentos al avance del proyecto para ver si representa un avance hacia la erradicación del ransomware, una amenaza que ha atacado con especial virulencia en los últimos meses.


Más información:
SHIELDFS: A Self-healing, Ransomware-aware Filesystem


ShieldFS: A Self-healing, Ransomware-aware Filesystem Paper [PDF]:


Francisco López