ShieldFS es un sistema de ficheros que
nace fruto de la investigación de un equipo del Politécnico de Milán. Durante
meses, recolectaron datos de millones de peticiones de I/O realizadas por
aplicaciones legítimas en sistemas operativos limpios, y por ransomware en
equipos infectados. Esto permitió ver las diferencias entre ambos y establecer
modelos de comportamiento.
En general, al comparar con otros
procesos, en el comportamiento típico del ransomware se realizan más lecturas,
escrituras y cambios de nombre a un fichero, además de generar alta entropía en
las operaciones de escritura. Hay un análisis pormenorizado de esta comparativa
en la tabla 3 de su estudio.
Con estos datos en la mano, es posible
reconocer el ransomware nada más comience su actividad maliciosa. Para esto, se
diseñó una capa de protección y sistema de monitorización de procesos que se
introdujo cono driver en el sistema de ficheros nativo de Windows. Al iniciarse
un proceso desconocido, es monitorizado en sus primeros pasos en el sistema
hasta que se puede discernir por su comportamiento que es seguro. En caso de
detectar actividad propia del ransomware, el proceso queda bloqueado.
Comparación de actividad entre
procesos benignos y ransomware. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf
Pero la funcionalidad del sistema de
ficheros va más allá de este bloqueo. Además, se incluye un sistema de respaldo
que mantiene copias recientes de los ficheros. De esta manera, tras la
detección del ransomware, todos los ficheros escritos por este se sustituyen
por un respaldo reciente en cuestión de segundos.
Esto es especialmente útil dado que, según los
investigadores, en ocasiones los rescates se pagan simplemente porque los
ficheros recientes son más valiosos para los usuarios. Los sistemas de respaldo
tradicionales deben llegar a un compromiso entre rendimiento, espacio y
actualidad, y es complicado que tengan cambios recientes. Esta dificultad es
eludida por ShieldFS al trabajar a más bajo nivel.
Para las pruebas del sistema, se
llevaron a cabo infecciones de tres muestras de ransomware (TeslaCrypt,
Critroni y ZeroLocker) en equipos reales de usuarios voluntarios detectando y
restaurando la actividad maliciosa con éxito.
Sin embargo, el sistema tiene limitaciones.
Por ejemplo, un atacante podría camuflar la actividad maliciosa inyectando
código en los procesos benignos del sistema y dejando que cada uno de estos
haga una pequeña parte del cifrado malicioso, camuflado así su actividad.
ShieldFS fue presentado el pasado diciembre en
la Annual Computer Security Applications Conference de Los Angeles y el pasado
miércoles en la Black Hat en Las Vegas. Aunque de momento pertenece al mundo
académico, estaremos atentos al avance del proyecto para ver si representa un
avance hacia la erradicación del ransomware, una amenaza que ha atacado con
especial virulencia en los últimos meses.
Más
información:
- SHIELDFS: A
Self-healing, Ransomware-aware Filesystem
http://shieldfs.necst.it/
- ShieldFS: A
Self-healing, Ransomware-aware Filesystem Paper [PDF] http://shieldfs.necst.it/continella-shieldfs-2016.pdf