Mac党福利:研究人员开发免费的Ransomware检测工具

摘要

RansomWhere是一款通用的免费ransomware检测工具,它可以通过监控可疑的文件系统创建加密文件的行为,帮助Mac OS X用户识别疑似的ransomware软件。

Mac党福利:研究人员开发免费的Ransomware检测工具

RansomWhere是一款通用的免费ransomware检测工具,它可以通过监控可疑的文件系统创建加密文件的行为,帮助Mac OS X用户识别疑似的ransomware软件。

不走寻常路的RansomWhere

这个ransomware检测工具有助于阻止可疑进程,并让用户决定是否允许或者阻止该进程的运行。

在这几年里,ransomware数量和泛滥程度大幅度上升。它的势头如此之快,以至于可能已经来到了你的身边。

在我们日常生活中,每天都会出现成百上千ransomware样本。对于传统以检测签名为主的杀软,由于病毒库更新跟不上,是很难对此保持及时查杀的。

所以,如果基于签名的杀毒技术不足以检测ransomware的感染,那么我们应该怎么做呢?

某些杀毒公司已经升级了他们的安全解决方案,通过按序访问大量的文件来检测可疑的行为,比如那些启用了加密算法和密钥交换机制的。

而RansomWhere是一款聪明的应用,它可以识别类ransomware的行为。如果检测到不受信任的进程对文件进行快速的加密,它就会阻止它并提醒用户。

RansomWhere如何工作

Patrick Wardle,这位前国家安全局(NSA)的雇员,现就职于挖洞研究机构Synack主导研究工作。他开发了RansomWhere这款工具,其目的是通过定期监控用户本地文件系统创建加密文件的行为,从而检测和锁定通用的ransomware。

Wardle在某篇博文中表示:

“有了RansomWhere,ransomware在被发现和阻止前,理想情况下最多只能加密几个文件。”

这款ransomware检测工具,默认情况下只会扫描由苹果开发者ID签名的Mac应用和二进制文件,而不是由苹果官方证书签名的文件。

如果工具检测到了任何不受信任的进程,它会将其挂起并弹出提示框,询问用户要不要继续运行,或者直接对其进行终止操作。

Wardle测试了KeRanger和Gopher的POC(由苹果职业黑客PedroVilaca开发),结果让人满意。

虽然Wardle承认他的工具不能保证100%能检测到ransomware,毕竟有黑客可以绕过行为检测进行bypass,但总比完全不设防要好得多。

RansomWhere工具的局限性

如果ransomware盗用苹果签名的文件和应用,RansomWhere将无法生效,因为它对官方签名加了白名单。

RansomWhere要在文件已被感染后,才能触发监测报警。

同时,在您的home目录之外的文件是不受RansomWhere保护的。所以,某些特殊的ransomware可能会将你的文件移到home目录之外,然后将其加密。

然而道高一尺,魔高一丈。正如前面的工具局限所述,Vilaca往Gopher ransomware里面加了10行代码,在将受害者的文件移出了home目录然后进行加密,在短时间内绕过了RansomWhere。

当然,RansomWhere也会进步,我们期待他的进一步优化。

 *参考来源:TA,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)  

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: