{"id":236322,"date":"2020-10-06T16:25:16","date_gmt":"2020-10-06T14:25:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236322"},"modified":"2020-10-06T16:32:53","modified_gmt":"2020-10-06T14:32:53","slug":"raccine-volumenschattenkopien-vor-ransomware-schtzen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/10\/06\/raccine-volumenschattenkopien-vor-ransomware-schtzen\/","title":{"rendered":"Raccine: Volumenschattenkopien vor Ransomware schützen"},"content":{"rendered":"

[English]Interessante Geschichte – ein Sicherheitsforscher hat ein Tool mit dem Namen Raccine als einfachen Schutz gegen Ransomware entwickelt. Dieses soll verhindern, dass Ransomware oder andere Malware die Volumenschattenkopien auf Windows NTFS-Laufwerken l\u00f6schen kann. <\/p>\n

<\/p>\n

Ransomware l\u00f6scht VSS-Kopien<\/h2>\n

\"\"Wenn ein Windows-System durch einen erfolgreichen Ransomware-Angriff infiziert wird, verschl\u00fcsselt die Schadsoftware nicht nur alle erreichbaren Datendateien. Um zu verhindern, dass der Nutzer Kopien zur Wiederherstellung anfertigen k\u00f6nnte, wird auch nach Backup-Dateien gesucht. Und zum Schluss l\u00f6scht die Ransomware typischerweise auch noch die auf NTFS-Laufwerken abgelegten Volumenschattenkopien der Dateien. Denn aus diesen k\u00f6nnte sich ja eventuell noch eine vorherige Kopie der Dokumentdatei wiederherstellen lassen. Die Windows-Funktion Vorherige Version <\/em>oder der Shadow Explorer machen dies m\u00f6glich. Sind die Volumenschattenkopien dagegen gel\u00f6scht, kann auch nichts wiederhergestellt werden.<\/p>\n

L\u00f6schen von VSS-Kopien blockieren<\/h2>\n

Florian Roth, seines Zeichens Sicherheitsforscher, hat das kostenlose Tool Raccine auf Github ver\u00f6ffentlicht<\/a>. Seine \u00dcberlegung war: Wenn Ransomware die Volumenschattenkopien l\u00f6scht, br\u00e4uchte man etwas, was genau diesen Vorgang bei einer Ransomware-Infektion verhindert. Dazu schreibt er:<\/p>\n

\n

Oft sehen wir [als Sicherheitsforscher], wie Ransomware alle Schattenkopien mit vssadmin l\u00f6scht. Was w\u00e4re, wenn wir diese Anfrage einfach abfangen und den aufrufenden Prozess beenden k\u00f6nnten? <\/p>\n<\/blockquote>\n

Nachfolgender Screenshot zeigt die Prozesse und den Aufruf von vssadmin<\/em> zum L\u00f6schen der Volumenschattenkopien. Genau an dieser Stelle setzt Roth mit seiner Schutzma\u00dfnahme an.<\/p>\n

\"<\/p>\n

Er registriert einen 'Debugger' f\u00fcr vssadmin.exe<\/em> (und wmic.exe<\/code>)<\/em>, der alle Operationen \u00fcberwachen soll. Als Debugger wird seine Schutzsoftware raccine.exe <\/em>registriert. Raccine ist ein Programm, welches zun\u00e4chst alle PIDs der Elternprozesse sammelt und dann versucht, alle Elternprozesse zu killen. Roth h\u00e4lt seine Methode f\u00fcr ziemlich allgemein einsetzbar. Es muss keine Systemdatei (vssadmin.exe <\/em>oder wmic.exe<\/em>) ersetzt werden, was Integrit\u00e4tsprobleme vermeidet. Zudem sind die \u00c4nderungen leicht r\u00fcckg\u00e4ngig zu machen (der Debugger muss lediglich de-registriert werden, um die \u00dcberwachung zu deaktivieren). Die Schutzsoftware raccine.exe <\/em>sollte auf allen Windows-Versionen ab Windows 2000 funktionieren. Es ist keine laufende ausf\u00fchrbare Datei oder ein zus\u00e4tzlicher Dienst erforderlich (agentenlos).<\/p>\n

Allerdings muss sich jeder Nutzer klar sein, dass bei aktivierter Schutzsoftware raccine.exe <\/em>die legitime Verwendung von:<\/p>\n

vssadmin.exe delete shadows <\/p>\n

(oder jeder anderen auf der Black-List Liste stehende Befehlskombination) ist nicht mehr m\u00f6glich ist. Zum Problem wird dies, wenn Backup-Funktionen gestartet werden, die die Schattenkopien nutzen, um die Systemdateien zu sichern. Zudem versagt die Methode, bei denen Malware-Prozesse nicht direkt zu den Prozessen in dem Baum geh\u00f6rt, aus dem vssadmin.exe <\/em>aufgerufen wurde (z.B. Aufruf \u00fcber schtasks).<\/p>\n

Der Autor schreibt, dass die Verwendung des Tools auf eigenes Risiko erfolgt. Das komplette Projekt steht hier auf Github<\/a> zur Verf\u00fcgung. Dort finden sich auch weitere Informationen zum Tool, zur Installation und Deinstallation, sowie der Download. <\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Interessante Geschichte – ein Sicherheitsforscher hat ein Tool mit dem Namen Raccine als einfachen Schutz gegen Ransomware entwickelt. Dieses soll verhindern, dass Ransomware oder andere Malware die Volumenschattenkopien auf Windows NTFS-Laufwerken l\u00f6schen kann.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694,2557],"tags":[1018,4328,4325],"class_list":["post-236322","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","category-windows-server","tag-malware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236322","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=236322"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236322\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=236322"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=236322"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=236322"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}