Ransomware Simulator "RanSim"
#1
KnowBe4 to raczej mało znana...albo nawet i zupełnie nieznana...dla większości firma związana z branżą bezpieczeństwa. W USA jest jednak inaczej, a jej klientami jest 25% tamtejszych banków i operatorów kart płatniczych i chociaż takich firm jest tam dość sporo, czasem większych nawet, ta jedna ma bardzo specyficzny atut - jest nim chyba najsłynniejszy haker wszech czasów - Kevin Mitnick, który pełni tam funkcję Chief Hacking Officer.
Ta firma właśnie opublikowała darmowe narzędzie pod nazwą Ransomware Simulator "RanSim" czyli ni mnie ni więcej, jak właśnie symulator szkodnika typu ransomware. Wg dostępnych informacji:
- zadaniem RanSim jest sprawdzenie poziomu skuteczności istniejących w testowanym systemie rozwiązań
- realizowane jest to poprzez możliwość uruchomienia potencjalnych 10 scenariuszy ataków (InsideCryptor, LockyVariant, Mover, Replacer, Streamer, StrongCryptor, StrongCryptorNet, ThorVariant, and WeakCryptor)
- w testowe ataki nie są angażowane żadne rzeczywiste pliki - systemowe, aplikacje i dane użytkownika i jak zapewnia producent jest to bezpieczna procedura.
- zaleca się, by nie wyłączać istniejących aplikacji zabezpieczających czy systemowych opcji, bo je właśnie (ich skuteczność) symulator sprawdza.

Program działa na systemach od Win7 wzwyż oraz środowiska .NET Framework 4.0.
Wymagania sprzętowe to minimum 1 GB RAM oraz 100 MB przestrzeni na dysku.

Dwa screeny poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


Źródło informacji i pobieranie

[Aby zobaczyć linki, zarejestruj się tutaj]

Strona programu

[Aby zobaczyć linki, zarejestruj się tutaj]

Przewodnik do testów, dodatkowe  informacje na temat wbudowanych scenariuszy i FAQ

[Aby zobaczyć linki, zarejestruj się tutaj]

Wątek na Wildersach - dyskusja o programie i wyniki testów użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Postanowiłem sprawdzić, jak wypada SpyShelter w tym teście...nie tyle z samej tylko ciekawości, co dla sprawdzenia jak symulator działa i jak się będą mieć jego wyniki do wyników innych programów, które zostały opublikowane w sieci...możliwości anty-ransom w SS były kwestionowane wielokrotnie ze względu na m.in. wykorzystanie przez szkodniki legalnych/zaufanych procesów.
Test został uruchomiony na Viście...to trochę zaskoczenie, bo oficjalnie test działa na Win7 i wyżej, ale wszystko poszło bez problemów...wynik dla SS to 10 na 10 i w sumie spodziewałem się takiego  Smile ...SS poprawnie wykrył wszystkie próby zapisu/modyfikacji w chronionej lokalizacji (Moje Dokumenty) a każda z tych prób została zablokowana. To wystarczyło, żeby kolejny scenariusz nie został uruchomiony, co jak widać było zgodne z założeniem testu. Oczywiście można się było pokusić o dopuszczenie akcji i czekanie na kolejne ewentualne alerty, co dałoby może lepsze pojęcie jak sam proces symulowania szkodnika przebiega, ale póki co wystarczył mi taki rezultat.
Dodatkowe warunki testu
- poziom ochrony na "pytaj użytkownika"
- test musi zostać zainstalowany przed uruchomieniem, więc zaryzykowałem tryb instalacji aż do czasu ukazania się okna aplikacji testującej
- zauważyłem, że test pobiera z sieci ponad 70 MB danych, które umieszcza w osobnym folderze wewnątrz domyślnego dla systemu folderu Moje Dokumenty...na to wszystko trzeba zezwolić w swoich aplikacjach zabezpieczających, bo inaczej symulator nie zadziała.
Poniżej screeny z wynikami dla poszczególnych scenariuszy

   
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
Comodo + Malware Defender =100%
Odpowiedz
#4
U mnie na win 7 SpyShelter nie dał rady na ustawieniach Auto. zezwól-Wysoki poziom ochrony. Wszystkie testy przeszły. W przypadku zdefiniowania folderu Moje Dokumenty jako pliki chronione jest już dużo lepiej  Wink 

   

Dlaczego unexecuted? Trzeba by było trochę bardziej przyłożyć się do testu i pobawić się z różnymi ustawieniami.
It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt.
Odpowiedz
#5
(28.12.2016, 16:59)DedalNort napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

U mnie na win 7 SpyShelter nie dał rady na ustawieniach Auto. zezwól-Wysoki poziom ochrony. Wszystkie testy przeszły. W przypadku zdefiniowania folderu Moje Dokumenty jako pliki chronione jest już dużo lepiej  Wink 

Dlaczego unexecuted? Trzeba by było trochę bardziej przyłożyć się do testu i pobawić się z różnymi ustawieniami.
Na automatycznych ustawieniach prawdopodobnie dlatego, że podczas instalacji dałeś już jakieś pozwolenia w tym pewnie na modyfikacje w folderze Moje Dokumenty, do którego przecież pobierane są pliki testu...możliwe, że usunięcie reguł po instalacji symulatora mogłoby coś poprawić. U siebie zaryzykowałem test, ponieważ funkcja ochrony plików/folderów jest dedykowana do ochrony głównie przeciwko ransomom i symulator miał ją sprawdzić.
"Trzeba by było trochę bardziej przyłożyć się do testu"...nie bardzo rozumiem ten zarzut i nie będę tego komentował.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
@ichito to tak jak kiedyś przeprowadzałem test w SS bo komuś przepuścił, a okazało się że użytkownik dawał zezwól i zdziwiony czemu SS przepuszcza... HIPS jednak nie jest dla początkujących bardziej zalecam im Piaswkonice i wirtualizacje.. troche więcej ustawień trzeba zrobić ale nadaje sie bardziej do użytku..

Na co im blokery skoro i tak na wszystko im zezwalają ......
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#7
Test wymaga dopuszczenia do pobrania z sieci odpowiednich komponentów oraz do umiejscowienia ich w domyślnym folderze dokumentów...jak pisałem wcześniej, inaczej test nie zadziała. Jest tego sporo, bo pliki wszystkich pojedynczych testów...widać na screenie zawartość

   

W swoim teście po instalacji usunąłem wszystkie reguły dla symulatora stworzone podczas instalacji po to, by poprzednie zezwolenia nie miały wpływu na test i by każda nowa akcja była dla SS "świeża".
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#8
Ponieważ padły pod moim adresem bardzo poważne zarzuty, że nie wiem na czym polega różnica pomiędzy "zezwól" a "zablokuj" to postanowiłem jeszcze raz zrobić kilka testów, ale tym razem bardziej się przyłożyć.
Zaczynając od początku. Ustawienia Spyshelter na których testowałem.
               
Ściągnąłem program testowy z internetu. Następnie odłączyłem komputer od sieci. Program nie wymaga dostępu do internetu. Przynajmniej u mnie Tongue
Zainstalowałem. W trakcie instalacji dostałem jeden komunikat od Ss. Zezwoliłem.
   
Żeby być pewnym, że nie ma żadnych reguł które zakłóciły by przebieg testu, usunąłem wszystkie reguły z Ss.
   
Uruchomiłem program. Żadnych pytań ze strony Ss.
Uruchomiłem test. Żadnych pytań ze strony Ss.
Wynik? Porażka.
   

Drugi test
Tym razem do listy plików chronionych dodałem moje dokumenty.
   
W trakcie testu Spyshelter zaczął sypać komunikatami.
Wynik? Sukces. Wszystkie testy zablokowane przez Ss.

Czyli wynikało by z tego, że jeśli chcemy żeby Spyshelter, który jest programem do ochrony przed keyloggerami, chronił nas również przed innym syfem, to należy do listy plików chronionych dodać dane, które chcielibyśmy ochronić. Czyli nic nowego w temacie Grin
It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt.
Odpowiedz
#9
@DedalNort
No weź...jakie zarzuty?? Po prostu napisałem, że to prawdopodobnie ważne żeby SS nie miał żadnych reguł dla symulatora i że na automatycznych ustawieniach SS może samodzielnie tworzyć jakieś reguły, które zaciemnią przebieg testu. Fajnie, że sprawdziłeś różne poziomy ochrony, bo to daje jakiś ogląd sytuacji, a ponadto w Twoich testach również się potwierdza, że dodanie folderu do listy chronionych może znacznie podnieść poziom skuteczności w zwalczaniu ransomów. Ta opcja jest w końcu dedykowana do takiego działania.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#10
Wersja 1.0.2.4 symulatora

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#11
Jeżeli chodzi o zapore PC TOOLS to taki syf nie przejdzie (alerty)
Odpowiedz
#12
Przez tę nazwę mam wrażenia że to gra z serii SimCity Sad
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości