Esta web utiliza cookies propias y de terceros, puedes ver nuestra política de privacidad y cookies. Si continúas navegando, consideramos que aceptas su uso.

Latch ARW herramienta contra el Ransomware

Tema en 'Seguridad informática' comenzado por jbex, 17/5/17.

Estado del tema:
No está abierto para más respuestas.
  1. jbex

    jbex El que peca y reza empata Administrador

    9,137
    134
    63
    El ransomware sigue siendo un gran problema entre los usuarios de sistemas Microsoft Windows. Con la simple idea de ser un programa que se ejecuta con los privilegios de la cuenta del usuario para buscar todos los documentos y cifrarlos, ha hecho de la extorsión un verdadero negocio, llegando a afectar a empresas y organizaciones como Hospitales.

    En ElevenPaths hemos estado trabajando en cómo poder usar nuestras tecnologías para ayudar a los usuarios con esta labor, y durante el pasado Security Innovation Day 2016 anunciamos Latch ARW para proteger las carpetas con documentos importantes dentro de un sistema Microsoft Windows contra los ataques del ransomware.

    LARW0.jpg
    Figura 1: Latch ARW. Una nueva herramienta con el Ransomware

    El concepto es sencillo y se basa en la idea de proteger carpetas utilizando Latch como 2º Factor de Autorización para permitir que el documento sea accesible o no por los programas - y por ende por cualquier programa malicioso como un ransomware -. Esta idea no es nueva, y ya en el primer Latch Plugin Contest hubo una aproximación a la solución con LtCsSecure, que implementaba una primera idea sobre este concepto.


    Figura 2: PoC para Latch Plugin Constest de LtCsSecure

    Seguimos con esa idea, y desde el laboratorio de ElevenPaths se estuvo trabajando en una PoC en la que se utilizaba un servicio que daba y quitaba los permisos al usuario controlados por medio del estado de un Latch. Es decir, cuando el usuario quería acceder a un documento, le tenía que pedir a un servicio que le diera los permisos y este servicio comprobaba antes si el Latch estaba abierto o cerrado.

    Latch ARW

    La idea anterior funcionó bastante bien, pero no acaba de tener la usabilidad y consistencia que buscábamos para esta herramienta, pero nos sirvió de acicate para terminar haciendo Latch ARW. En este caso la aproximación es distinta, ya que en lugar de jugar con los permisos, Latch ARW funciona como un driver de Microsoft Windows en modo kernel que monitoriza las operaciones de I/O para identificar si se producen sobre una carpeta protegida y si son de escritura o borrado. El driver comunica a su vez con un servicio de Microsoft Windows que se encarga de consultar el estado de la autorización contra los servidores de Latch y llevar un inventario de carpetas protegidas.

    LatchARW.jpg
    Figura 3: Latch ARW en el laboratorio de ElevenPaths

    El interfaz de usuario de pareo y despareo, y proteger y desproteger una carpeta está integrado en el Explorador de Microsoft Windows. Manejándose, de forma sencilla mediante menús contextuales directamente sobre las carpetas. Con esta arquitectura nos quedamos muy satisfechos del resultado que funciona tal y como se puede ver en el siguiente vídeo.


    Figura 4: Funcionamiento de Latch ARW con Cryptolocker

    Si os fijáis en el proceso que se muestra en el vídeo, una vez que las carpetas están protegidos con Latch, los archivos están disponibles para lectura, pero no para borrado o escritura, lo que hace que el proceso sea bastante usable. Además, si un ransomware quisiera quitar la protección de Latch ARW, no podría hacerlo porque está protegido por el propio Latch, así que si el usuario no abre el pestillo el documento está a salvo.

    Pruebas en campo de batalla real

    Por supuesto, quisimos probarlo en un entorno real, así que le lanzamos una decena de muestras de ransomware para ver el comporamiento de Latch ARW con todos ellos y el resultado fue más que satisfactorio, ya que ninguno fue capaz de tocar ni uno solo de los documentos que estaban en las carpetas protegidas.

    CTB1.jpg
    Figura 5: Lanzando CTB-Locker al sistema

    Una opción más que interesante es proteger las carpetas donde guardas tus copias de seguridad con Latch, ya que puedes de esta forma controlar en todo momento que nadie pueda escribir en ellas. Cuando llegue el momento de hacer una nueva copia de seguridad, abres el pestillo, la haces, y vuelves a cerrar el pestillo después para que todo siga protegido.

    CTB2.jpg
    Figura 6: Las carpetas protegidas por Latch ARW permanecen intactas

    Latch ARW va a estar disponible en unos días. Es una herramienta gratuita como Latch para Windows o Latch para WordPress, así que podrás usarlo. Aún está en fase beta, por lo que si localizas cualquier cosa te agradeceremos que nos lo comuniques a través de nuestra Comunidad de ElevenPaths. Y si te animas con nuevas ideas, ya sabes que hemos abierto una nueva convocatoria del Latch Plugin Contest.

    Fuente:
    Código:
    http://www.elladodelmal.com/2016/10/latch-arw-una-nueva-herramienta-contra.html
     
  2. jbex

    jbex El que peca y reza empata Administrador

    9,137
    134
    63
    Cómo restaurar ficheros con Telefónica Wannacry File Restorer Alpha 0.1 versión escritorio

    Hoy queremos enseñar una herramienta que se ha desarrollado de manera urgente para que usuarios de escritorio puedan escanear su equipo en busca de los ansiados ficheros WNCRYT. Hay que recordar que este tipo de ficheros son archivos temporales utilizados por Wannacry y que no se encontraban cifrados, por lo que pueden ser restaurados.

    wannacry_file_restorer.png

    Como se puede ver en la imagen, la herramienta tiene un aspecto visual sencillo e intuitivo. Al abrir la herramienta se debe pulsar en el botón denominado Scan para localizar, en el caso de existir, los archivos WNCRYT en alguna de las particiones del disco o de los discos.

    En el caso de encontrarse archivos de este tipo, la herramienta nos lo mostraría en el visor que se encuentra en la zona central de la aplicación. Se activaría el botón de Recover Files. Este botón ejecutaría el proceso de recuperación de los archivos temporales de Wannacry. Además, cuando pulsamos el botón Recover Files, la herramienta nos solicita que le indiquemos en qué ruta queremos recuperar los archivos, para una mayor comodidad.

    A continuación, os dejamos el video de uso de la herramienta, el cual podéis encontrar también en nuestro canal de Youtube.



    La herramienta la podéis descargar desde nuestro Github.
    Código:
    https://github.com/ElevenPaths/Telefonica-WannaCry-FileRestorer-Desktop
    Próximamente estará disponible en nuestra web en el apartado de pruebas de concepto. Esperamos que la herramienta os pueda ayudar si habéis sido afectados y estáis dentro de las condiciones de recuperación.

    Fuente:
    Código:
    http://blog.elevenpaths.com/2017/05/wannacry-file-restorer-alpha-01-version.html#more
     
    A Kbite le gusta esto.
  3. jbex

    jbex El que peca y reza empata Administrador

    9,137
    134
    63
    ¿Está mi sistema parcheado contra EternalBlue?

    El ransomware WannaCry, se vale de un exploit para aprovecharse de una vulnerabilidad en Windows; y si bien el parche para la misma está disponible desde marzo, no todos lo han instalado. En este artículo te presentamos una herramienta que te permitirá saber si tu sistema está efectivamente parcheado contra este exploit llamado EternalBlue.

    A tal fin, tenéis a disposición la herramienta de ESET llamada EternalBlue Vulnerability Checker, disponible para su descarga y muy fácil de usar.
    Código:
    https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe
     
    A lorshaft92 le gusta esto.
Cargando...
Similar Threads - Latch ARW herramienta
  1. zaspot69
    Respuestas:
    4
    Visitas:
    499
  2. jole2011
    Respuestas:
    2
    Visitas:
    733
  3. kiyra
    Respuestas:
    1
    Visitas:
    724
  4. Raul230
    Respuestas:
    1
    Visitas:
    976
Estado del tema:
No está abierto para más respuestas.