Categories: Sicherheit

Ehemaliger NSA-Sicherheitsexperte entwickelt universellen Ransomware-Blocker für Mac

Patrick Wardle, ehemaliger Sicherheitsexperte der NSA und heute Forschungsleiter beim Crowd-Security-Intelligence-Unternehmen Synack, hat eine Software für Mac entwickelt, die vor Ransomware schützen soll. Das Programm namens RansomWhere? verfolgt einen universellen Ansatz und soll sich damit zur Abwehr bekannter und unbekannter Bedrohungen eignen.

„Dieses Tool versucht [Ransomware-Angriffe] generell zu verhindern, indem es nicht vertrauenswürdige Prozesse erkennt, die persönliche Dateien verschlüsseln“, schreibt Wardle in seinem Blog Objective-See. „Sobald ein solcher Prozess erkannt wurde, stoppt RansomWhere? diesen Prozess umgehend und zeigt dem Nutzer eine Warnmeldung an.“

Falls es sich tatsächlich um eine schädliche Ransomware handelt, kann der Anwender den Prozess endgültig abbrechen, wie Wardle weiter erklärt. Handle es sich hingegen um einen Fehlalarm, lasse sich der Prozess fortsetzen.

Die Zahl der sogenannten False Positives soll jedoch sehr gering sein, weil RansomWhere? ausschließlich von Apple und nicht von Mac-App-Entwicklern signierten Binärdateien traut. Gleiches gilt für Anwendungen, die bereits bei seiner Installation auf dem System vorhanden waren.

Diese Umsetzung bietet Vor- und Nachteile: Zum einen sorgt sie für weniger Fehlalarme. Zum anderen könnte jedoch Ransomware unentdeckt bleiben, die schon länger auf dem System vorhanden, aber noch nicht aktiv geworden ist.

Wardle räumt in seinem Blog noch einige andere Einschränkungen seiner Sicherheitssoftware ein. Da sie Ransomware an Prozessen zur schnellen Verschlüsselung von Dateien erkenne, könne es vorkommen, dass zunächst einige Dateien (im Idealfall zwei bis drei) tatsächlich verschlüsselt würden, ehe sie anschlägt. Zudem sei die Überwachung auf Nutzerverzeichnisse beschränkt. Natürlich sei es auch möglich, das Schutzprogramm mittels offizieller Zertifikate oder Code-Injektion zu umgehen.

Erkennt RansomWhere? die schnelle Verschlüsselung von Dateien wie hier mit KeRanger, stoppt es den Prozess und warnt den Anwender (Bild: Patrick Wardle).

ZDNet.com hat Wardles Tool einem Kurztest unterzogen. In diesem war es in der Lage, die Anfang März entdeckte Ransomware KeRanger, die als erste voll funktionsfähige Erpressersoftware für OS X gilt, zu erkennen und sie davon abzuhalten, Dateien zu verschlüsseln.

KeRanger verbreitete sich über einen manipulierte BitTorrent-Client, der mit einem gültigen Mac-App-Entwickler-Zertifikat signiert war. Auf diese Weise konnte sie Apples Gatekeeper-Schutz umgehen. Danach wartete KeRanger drei Tage, bis sie sich über das Tor-Netzwerk mit einem Befehlsserver verband. Anschließend verschlüsselte sie bestimmte Dateiarten und forderte wie für diese Art Malware üblich ein Lösegeld in Höhe von einem Bitcoin (rund 400 Dollar).

In seinem Blog gibt Wardle auch einen Überblick über Proof-of-Concepts von Sicherheitsforschern und andere Schadsoftware für OS X, die Ransomware-Taktiken verfolgen. Dazu zählen Programme wie die FBI-Ransomware, die lediglich den Zugriff auf den Browser blockiert, bis hin zur Erpressersoftware GinX, die ihrem Autor zufolge wie KeRanger Dateien auf einem Mac verschlüsseln kann.

[mit Material von Adrian Kingsley-Hughes, ZDNet.com]

ANZEIGE

Interview mit Samsungs SSD-Spezialist Marcel Binder

Im Interview mit ZDNet erläutert Marcel Binder, Technical Product Manager Marketing bei Samsung, die Vorteile durch den Einsatz von SSDs. Dabei geht er auch auf aktuelle Schnittstellen, Speicherdichten sowie Samsung V-NAND-Technik ein.

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

10 Minuten ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

16 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

20 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

21 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

21 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

21 Stunden ago