Alternative Root-Cause-Analyse für aktive Ransomware

Wie findet man die Ursache für eine laufende Verschlüsselung durch eine Ransomware in einem Netzwerk mit mehreren hundert Clients schnell und effektiv? Natürlich hat man ein SIEM, dass die Logs auswertet und korreliert und schnell und einfach anzeigen kann, welche Person wie viele Dateien auf ein Laufwerk geschrieben hat – ist ja klar!

Doch wie genau erkennt man die Ursache wenn das SIEM nun mal keine Ergebnisse liefert, weil zum Beispiel die Logs nicht angekommen sind oder nicht sauber verarbeitet wurden? Dann bleibt nur noch die Lösung, alle verschlüsselten Laufwerke zu identifizieren und zu schauen, welche Person als Schnittstelle auf allen Verzeichnissen Schreibrechte hat. Nur kann dieser Prozess selbst bei 20 möglichen Usern in drei bis 4 verschiedenen Gruppen durch manuelles aussortieren sehr lange gehen, während dem frisch fröhlich immer weiter verschlüsselt wird – und das gerade dann, wo jede einzelne Minute kritisch wäre!

group_member_analysis

Mit diesem Gedanken im Hinterkopf habe ich vor kurzem ein kleines Tool entworfen, in welchem sich bis zu vier Gruppen pro verschlüsseltem Laufwerk auslesen und dann mit ebenfalls bis zu vier weiteren Gruppen pro weiterem Laufwerk korrelieren lassen, bis die Schnittmenge im Idealfall nur noch eine einzelne Person ist. Natürlich ist dies je nach Anwendungsfall und Berechtigungskonzept nicht immer zielführend, aber meistens kann der Kreis der Verdächtigen damit fast immer auf eine Handvoll eingeschränkt werden, was die Analyse schon massiv vereinfacht und verkürzt.

Wer an dem Tool interessiert ist, der findet das C#.NET Projekt (Visual Studio) auf Github. Feedback ist gerne Willkommen, Verwendung wie immer auf eigene Gefahr!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.