Sophos Intercept X vs. Ransomware
Verschlüsselung Ihrer Daten war gestern. Heute wird erst kräftig geklaut und danach wird man per E-Mail mit seinen eigenen Daten erpresst. Hierbei ist die Gefahr nicht mehr jene, dass man nicht mehr auf die Dateien zugreifen kann, weil sie verschlüsselt sind. Es wird gedroht, dass die Daten öffentlich gemacht werden. Schützt uns Intercept X davor? Das finden wir gemeinsam raus.
Was ist Intercept X und wie funktioniert es?
Intercept X ist ein Zusatzschutz zu Ihrer bestehenden Endpoint Security Lösung. Hierbei kommt es im Übrigen nicht darauf an, dass Ihre Endpoint Lösung von Sophos ist. Intercept X kann als „Zweite-Meinungs-Scanner“ auch neben jedem anderen Hersteller betrieben werden und bietet so einen wertvollen Zusatzschutz. Intercept X wird in der Sophos Central online verwaltet. Es ist außerdem ein Oberbegriff für vier Einzelmechanismen, die in einem Produkt zusammengefasst werden.
Die vier Säulen von Intercept X
Anti-Ransomware mittels CryptoGuard
Der CryptoGuard ist eine Art kurzfristige Sicherungskopie Ihrer Daten, damit im Falle einer Verschlüsselung durch eine Ransomware die Dateien gerettet und die Gefahr beseitigt werden kann. Er funktioniert mithilfe eines Ringspeichers. Ein fester Teil Ihrer Festplatte wird reserviert für Sicherungskopien, die immer dann automatisch angelegt werden, wenn sich eine Datei öffnet.
Nehmen wir an, Sie öffnen eine Datei in Word um sie zu bearbeiten. CryptoGuard legt für Sie eine Kopie in den Ringspeicher und wartet auf einen Schreibzugang. Sie ändern die Datei und speichern diese ab. CryptoGuard untersucht die Datei beim Speichervorgang und entscheidet, ob diese noch lesbar oder jetzt unlesbar, also verschlüsselt ist. In diesem Beispiel merkt er natürlich, dass mit der Datei noch alles stimmt und löscht die Duplette aus dem Ringspeicher.
Nehmen wir nun an, dass eine Ransomware eine solche Datei öffnet. CryptoGuard legt wieder eine Sicherungskopie an. Dieses mal schreibt die Ransomware die Datei verschlüsselt auf die Festplatte und CryptoGuard merkt, dass er die Datei nicht mehr wie gewohnt lesen kann. Augenblicklich ist die rote Rundleuchte an. CryptoGuard findet den Systemprozess, der die Datei geschrieben hat und hält ihn an. Außerdem schreibt er die Duplette, die er im Ringspeicher hat, sofort wieder an ihren Ursprungspunkt zurück.
So hat CryptoGuard binnen weniger Sekunden verhindert, dass unser System verschlüsselt wird. Und das Tolle daran ist, dass wir keinerlei Daten verloren haben bei diesem Vorfall.
Anti Exploit durch gezielte Erkennung
Im Vergleich zu der sehr rasant wachsenden Anzahl an Ransomware und Malware (ungefähr eine Million pro Jahr) gibt es für einen Hacker nur rund 25 Exploits, die er nutzen kann, um gezielte Angriffe auszuführen. Hierbei ist die Wachstumsrate bei etwa einem Exploit pro Jahr.
Das heißt, dass sich Sophos hier in der glücklichen Lage sieht, diese Angriffe auch gezielt zu erkennen und auszuhebeln. Hierbei werden „Stolperdrähte“ im System versteckt. Betrachten wir nun einen Exploit, wie zum Beispiel einen sogenannten ROP „Return Oriented Programming“. Dieser markiert durch die Ausnutzung von Windows Funktionen gewisse Speicherbereiche als ausführbar und füllt diese dann mit Schadcode. An den Sicherheitsmechanismen des Systems vorbei (zum Beispiel Microsofts DEP) führt er dann diesen Schadcode aus.
Sophos hat für Exploits wie diesen diverse Stolperdrähte hinterlassen. Einfach gesprochen löst der Exploit den Draht beim Markieren des Speicherbereiches aus. Den nächsten dann, wenn er Schadcode hinzufügt. Den nächsten, wenn er versucht diesen auszuführen. Da greift Sophos dann bereits ein, weil sie diese Attacke natürlich erkannt haben.
Das klingt ziemlich akademisch, kann aber sehr praxisnah getestet werden. Dazu nutzen wir ein Tool namens „Hitman Pro Alert Testtool„, bereitgestellt von Sophos. Hier können verschiedene Exploits simuliert werden. Die Tests zeigen, dass Intercept X mit seiner Anti-Exploit Komponente die Attacken erkennt und unterbindet.
Tatortreiniger – Sophos Clean
Sophos Clean ist ein Tiefenscanner mit Verhaltensanalyse und erkennt auch Zero-Day Exploits und Malware recht zuverlässig. Immer dann, wenn CryptoGuard oder Anti-Exploit zugeschlagen hat, läuft automatisch der Sophos Clean los und scannt den Rechner auf verbleibende Bedrohungen.
Sophos Clean kann auch kostenlos als Zweite-Meinungs-Scanner getestet werden. Hier heißt das Produkt, was in Intercept X integriert ist, „HitmanPro„.
Ursachenanalyse
Um zukünftig auch die Schwachstellen im System besser erkennen zu können, bietet uns Intercept X mit seiner Ursachenanalyse eine sehr anschauliche Übersicht über den Hergang einer Infektion durch Malware oder Ransomware.
Es wird für uns tabellarisch und mithilfe eines Flussdiagrammes aufbereitet, wie die Infektion ihren Lauf genommen hat. Geschriebene Dateien, wie auch Registrierungseinträge, gelesene Dateien und geöffnete Verbindungen werden angegeben und grafisch aufbereitet.
Fazit und Ausblick
Meiner Meinung nach ist Intercept X eine ausgezeichnete Ergänzung zu einer bestehenden Endpoint Security Lösung. Dank der Kompatibilität zu anderen AV Herstellern gibt es auch keinen Grund dieses Produkt nicht einzusetzen. Die Funktionen sind sinnvoll und einfach gestaltet. Der Schutz hat mich überzeugt.
Auf der vergangenen Partner Roadshow 2017 wurde erwähnt, dass Intercept X durch zwei neue Intercept Produkte erweitert werden wird. Hierbei soll in Zukunft auch möglich sein Malware mittels „machine learning“ zu erkennen und eine erweiterte Analyse außerhalb des eigenen Netzes zu betreiben.
Sie möchten Intercept X selbst testen? Hier gehts zur 30-Tage Demo: Sophos Central Intercept X testen.
