Categories: Sicherheit

Ehemaliger NSA-Sicherheitsexperte entwickelt universellen Ransomware-Blocker für Mac

Patrick Wardle, ehemaliger Sicherheitsexperte der NSA und heute Forschungsleiter beim Crowd-Security-Intelligence-Unternehmen Synack, hat eine Software für Mac entwickelt, die vor Ransomware schützen soll. Das Programm namens RansomWhere? verfolgt einen universellen Ansatz und soll sich damit zur Abwehr bekannter und unbekannter Bedrohungen eignen.

„Dieses Tool versucht [Ransomware-Angriffe] generell zu verhindern, indem es nicht vertrauenswürdige Prozesse erkennt, die persönliche Dateien verschlüsseln“, schreibt Wardle in seinem Blog Objective-See. „Sobald ein solcher Prozess erkannt wurde, stoppt RansomWhere? diesen Prozess umgehend und zeigt dem Nutzer eine Warnmeldung an.“

Falls es sich tatsächlich um eine schädliche Ransomware handelt, kann der Anwender den Prozess endgültig abbrechen, wie Wardle weiter erklärt. Handle es sich hingegen um einen Fehlalarm, lasse sich der Prozess fortsetzen.

Die Zahl der sogenannten False Positives soll jedoch sehr gering sein, weil RansomWhere? ausschließlich von Apple und nicht von Mac-App-Entwicklern signierten Binärdateien traut. Gleiches gilt für Anwendungen, die bereits bei seiner Installation auf dem System vorhanden waren.

Diese Umsetzung bietet Vor- und Nachteile: Zum einen sorgt sie für weniger Fehlalarme. Zum anderen könnte jedoch Ransomware unentdeckt bleiben, die schon länger auf dem System vorhanden, aber noch nicht aktiv geworden ist.

Wardle räumt in seinem Blog noch einige andere Einschränkungen seiner Sicherheitssoftware ein. Da sie Ransomware an Prozessen zur schnellen Verschlüsselung von Dateien erkenne, könne es vorkommen, dass zunächst einige Dateien (im Idealfall zwei bis drei) tatsächlich verschlüsselt würden, ehe sie anschlägt. Zudem sei die Überwachung auf Nutzerverzeichnisse beschränkt. Natürlich sei es auch möglich, das Schutzprogramm mittels offizieller Zertifikate oder Code-Injektion zu umgehen.

Erkennt RansomWhere? die schnelle Verschlüsselung von Dateien wie hier mit KeRanger, stoppt es den Prozess und warnt den Anwender (Bild: Patrick Wardle).

ZDNet.com hat Wardles Tool einem Kurztest unterzogen. In diesem war es in der Lage, die Anfang März entdeckte Ransomware KeRanger, die als erste voll funktionsfähige Erpressersoftware für OS X gilt, zu erkennen und sie davon abzuhalten, Dateien zu verschlüsseln.

KeRanger verbreitete sich über einen manipulierte BitTorrent-Client, der mit einem gültigen Mac-App-Entwickler-Zertifikat signiert war. Auf diese Weise konnte sie Apples Gatekeeper-Schutz umgehen. Danach wartete KeRanger drei Tage, bis sie sich über das Tor-Netzwerk mit einem Befehlsserver verband. Anschließend verschlüsselte sie bestimmte Dateiarten und forderte wie für diese Art Malware üblich ein Lösegeld in Höhe von einem Bitcoin (rund 400 Dollar).

In seinem Blog gibt Wardle auch einen Überblick über Proof-of-Concepts von Sicherheitsforschern und andere Schadsoftware für OS X, die Ransomware-Taktiken verfolgen. Dazu zählen Programme wie die FBI-Ransomware, die lediglich den Zugriff auf den Browser blockiert, bis hin zur Erpressersoftware GinX, die ihrem Autor zufolge wie KeRanger Dateien auf einem Mac verschlüsseln kann.

[mit Material von Adrian Kingsley-Hughes, ZDNet.com]

ANZEIGE

Interview mit Samsungs SSD-Spezialist Marcel Binder

Im Interview mit ZDNet erläutert Marcel Binder, Technical Product Manager Marketing bei Samsung, die Vorteile durch den Einsatz von SSDs. Dabei geht er auch auf aktuelle Schnittstellen, Speicherdichten sowie Samsung V-NAND-Technik ein.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

4 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

4 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

11 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago