Raccine: Volumenschattenkopien vor Ransomware schützen

[English]Interessante Geschichte – ein Sicherheitsforscher hat ein Tool mit dem Namen Raccine als einfachen Schutz gegen Ransomware entwickelt. Dieses soll verhindern, dass Ransomware oder andere Malware die Volumenschattenkopien auf Windows NTFS-Laufwerken löschen kann.


Anzeige

Ransomware löscht VSS-Kopien

Wenn ein Windows-System durch einen erfolgreichen Ransomware-Angriff infiziert wird, verschlüsselt die Schadsoftware nicht nur alle erreichbaren Datendateien. Um zu verhindern, dass der Nutzer Kopien zur Wiederherstellung anfertigen könnte, wird auch nach Backup-Dateien gesucht. Und zum Schluss löscht die Ransomware typischerweise auch noch die auf NTFS-Laufwerken abgelegten Volumenschattenkopien der Dateien. Denn aus diesen könnte sich ja eventuell noch eine vorherige Kopie der Dokumentdatei wiederherstellen lassen. Die Windows-Funktion Vorherige Version oder der Shadow Explorer machen dies möglich. Sind die Volumenschattenkopien dagegen gelöscht, kann auch nichts wiederhergestellt werden.

Löschen von VSS-Kopien blockieren

Florian Roth, seines Zeichens Sicherheitsforscher, hat das kostenlose Tool Raccine auf Github veröffentlicht. Seine Überlegung war: Wenn Ransomware die Volumenschattenkopien löscht, bräuchte man etwas, was genau diesen Vorgang bei einer Ransomware-Infektion verhindert. Dazu schreibt er:

Oft sehen wir [als Sicherheitsforscher], wie Ransomware alle Schattenkopien mit vssadmin löscht. Was wäre, wenn wir diese Anfrage einfach abfangen und den aufrufenden Prozess beenden könnten?

Nachfolgender Screenshot zeigt die Prozesse und den Aufruf von vssadmin zum Löschen der Volumenschattenkopien. Genau an dieser Stelle setzt Roth mit seiner Schutzmaßnahme an.

 vssadmin.exe zum Löschen der Volumenschattenkopien

Er registriert einen ‘Debugger’ für vssadmin.exe (und wmic.exe), der alle Operationen überwachen soll. Als Debugger wird seine Schutzsoftware raccine.exe registriert. Raccine ist ein Programm, welches zunächst alle PIDs der Elternprozesse sammelt und dann versucht, alle Elternprozesse zu killen. Roth hält seine Methode für ziemlich allgemein einsetzbar. Es muss keine Systemdatei (vssadmin.exe oder wmic.exe) ersetzt werden, was Integritätsprobleme vermeidet. Zudem sind die Änderungen leicht rückgängig zu machen (der Debugger muss lediglich de-registriert werden, um die Überwachung zu deaktivieren). Die Schutzsoftware raccine.exe sollte auf allen Windows-Versionen ab Windows 2000 funktionieren. Es ist keine laufende ausführbare Datei oder ein zusätzlicher Dienst erforderlich (agentenlos).

Allerdings muss sich jeder Nutzer klar sein, dass bei aktivierter Schutzsoftware raccine.exe die legitime Verwendung von:

vssadmin.exe delete shadows


Anzeige

(oder jeder anderen auf der Black-List Liste stehende Befehlskombination) ist nicht mehr möglich ist. Zum Problem wird dies, wenn Backup-Funktionen gestartet werden, die die Schattenkopien nutzen, um die Systemdateien zu sichern. Zudem versagt die Methode, bei denen Malware-Prozesse nicht direkt zu den Prozessen in dem Baum gehört, aus dem vssadmin.exe aufgerufen wurde (z.B. Aufruf über schtasks).

Der Autor schreibt, dass die Verwendung des Tools auf eigenes Risiko erfolgt. Das komplette Projekt steht hier auf Github zur Verfügung. Dort finden sich auch weitere Informationen zum Tool, zur Installation und Deinstallation, sowie der Download.


Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows 7, Windows 8.1, Windows Server abgelegt und mit Malware, Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Raccine: Volumenschattenkopien vor Ransomware schützen


  1. Anzeige
  2. AUTSCH: solcher HANEBÜCHENE SCHWACHSINN ist NICHT interessant, bzw. taugt nur als abschreckendes Beispiel für sinn- und nutzloses Zeux!
    Zum Löschen von Schattenkopien sind Administratorrechte notwendig, d.h. die hier genannten Programme müss(t)en von einem Administrator aufgerufen werden.
    Und der kann dummerweise die von diesem vollidiotischen “Tool” geschriebenen Registry-Einträge vor dem Aufruf dieser Programme einfach löschen.
    Oder das System auf x-beliebige andere Weise manipulieren!

    • Olaf Eitner sagt:

      In der Tat, wurden bei uns, innerhalb weniger Minuten, sogar Dateien auf unserem Server verschluesselt UND deren Schattenkopien gelöscht! (MS Server 2012 R2). Was mich noch sehr viel mehr verwunderte (damals, 2016), war die Tatsache, dass AUCH Datenlaufwerke davon betroffen waren, auf die der Usr _definitiv_ weder RW, noch RO Zugriff, geschweige denn, im ‘SMB-Network’ überhaupt sichtbar waren.

      Heute bin ich etwas schlauer. Aber zurück zum Kern. Ich konnte die Daten zu etwa 60% wiederherstellen. Aber es gab ein Problem. Die Daten auf / in unserem Sicherungsbackup hatten ALLE sehr merkwuerdige Filenamen, die beim Zurückspielen, von den fehlenden Berechtigungen mal abgesehen, erst durch genaues Hineinsehen, was sehr viel Zeit kostete, in den ‘produktiven Bereich’ übernommen werden konnten.

      M.a.W.: Wichtig ist die Wahl UND der Test (probehalber mal zurückspielen) eines Backupsystems. Kann da jemand helfen?-) Ich verwende z.B. bei meinen BeratungsclientInnen gerne RedoBackup für eine 1zu1copie. Im Privaten verwende ich häufig disk2vhdx usw. Firmenweit? Irgendwelche Ideen?

  3. Michel Py sagt:

    Interessante Schutzmethode !
    Leider nicht effektiv bei Ransomwares/Viren die ganz einfach alle Disks schnell mit Schrott füllen. Genau so hat damals ein brandneue Ransomware alle vorherige Versionen (VSS Shadows) auf dem PC und Servers einer Kunde vernichtet .
    Zum Glück hatte ich Image Backups von allem (Server und PCs).
    Es hat viele Stunden gebraucht alles vom Disk Backup zurückzuladen.
    Kunde hat damals ein Tag Arbeit verloren.
    Daten sind leider sehr schnell Kaputt (egal weshalb).
    Seitdem werden Backups auch über Mittag gemacht.

    A propos Ransomwares, haben sie das schon gelesen ?
    https://danielmiessler.com/blog/ransomware-groups-add-a-third-threat-vector-ddos/
    Hat jeder eine Schreibmaschine bereit, im Supergau Fall :-)

  4. Anzeige

  5. red++ sagt:

    Völliger Schwachsinn, die beste Methode um sich vor Ransomware zu schützen sind, aktuelle Updates vom Betriebssystem, Software und nach wie vor Backups auf Externe Datenträger die nicht Ständig am Gerät angeschlossen und im Netzwerk verfügbar sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.