Titelaufnahme

Titel
Einschränken von Applikationen mittels verfügbarer Werkzeuge für Windows Systeme / vorgelegt von Martin Vaclavik
Weitere Titel
Confining applications by using available tools for Windows Systems
AutorInnenVaclavik, Martin
GutachterGöschka, Karl Michael ; Koschuch, Manuel
Erschienen2018
Umfangv, 49 Blatt : Illustrationen
HochschulschriftWien, FH Campus Wien, Masterarb., 2018
Datum der AbgabeMai 2018
SpracheEnglisch
DokumenttypMasterarbeit
Schlagwörter (DE)Windows Filter Treiber / Windows Driver Kit / Ransomware / Marshaling / Windows / Microsoft
Schlagwörter (EN)Windows Filter Driver / Windows Driver Kit / Ransomware / Marshaling / Windows / Microsoft
Schlagwörter (GND)Treiberschaltung
URNurn:nbn:at:at-fhcw:1-3642 Persistent Identifier (URN)
Zugriffsbeschränkung
 Das Werk ist frei verfügbar
Dateien
Einschränken von Applikationen mittels verfügbarer Werkzeuge für Windows Systeme [0.7 mb]
Links
Nachweis
Klassifikation
Zusammenfassung (Deutsch)

In dieser Arbeit geht es um Windows Filter Treiber und wie man mit diesen, Dateizugriffe Beschränken kann anhand von Prozess-ids. Mit dieser Technik soll der Schaden einer Infektion durch eine Ransomware Attacke verringert werden, indem unbekannten Prozessen nicht erlaubt wird auf bestimmte Dateien zu schreiben. Der Benutzer hat dabei die Möglichkeit mit der C# Applikation auszuwählen, welche Prozesse, Zugriff auf Dateien bekommen und welche nicht. Deswegen ist eine der Fragestellungen, wie eine Ransomware Attacke abläuft, ein Fokus dieser Arbeit. Dadurch, dass es immer mehr Ransomware Attacken gibt, steigt auch der IT-Security Fokus, bezüglich diesem Threat-Modell. Dies ist vor allem durch die große Anzahl an Sicherheitssystemen zu sehen, die sich um das Eliminieren von Ransomware

kümmern sollen. Diese Ransomware Tools sind in den meisten Fällen "Blackboxes" und es ist nicht wirklich klar, wie diese Systeme tatsä chlich funktionieren. Dies ist die Motivation dieser Arbeit, um ein Open-Source System zu bauen, welches Nachvollziehbar arbeitet und mit dem der Schaden einer Ransomware Attacke verringert werden kann. Windows Filter Treiber bieten einem sehr viele Möglichkeiten an, um Ransomware Attacken zu erkennen und

zu verhindern. Das Problem mit dem man bei Windows Filter Treibern am meisten zu kämpfen hat, ist das ganze System dahinter zu verstehen, da es ein sehr komplexes System ist und es nicht viele Arbeiten zu diesem Thema gibt, außer der offiziellen Microsoft Dokumentation. Deswegen ist auch ein sehr großer Fokus dieser Arbeit, zu verstehen wie Filter Treiber funktionieren und wie sie genutzt werden können, um den Zugriff auf Dateien zu beschränken. Filter Treiber haben bewiesen, dass sie für diesen Einsatzzweck gewappnet sind. Dateizugriffe konnten Anhand von Prozess-ids verhindert werden. Das einzige Problem mit dem man als Benutzer solch eines Systems zu kämpfen hat ist, dass der Computer in den "test mode" gebracht werden muss, damit ein Filter Treiber erfolgreich in das System eingebunden werden kann.

Zusammenfassung (Englisch)

This thesis focuses on Windows Filter Drivers and how they can be programmed to restrict IO access for specific process-ids. With this in mind the restriction should help prevent access to files by unknown programs that are running on the system. Preventing access to files is used to mitigate the damage of a ransomware attack, this means if a machine gets infected, the user needs to give permission to this process via the C# configurator tool to allow access to the restricted files. That is why a big part of this thesis focuses on how a ransomware attack starts and how it works in detail. Since the ransomware attacks are rather popular nowadays there are already a lot of solutions available, however many of these tools are complete blackboxes and it is not really anywhere documented how a malicious intent is actually found and restricted. Therefore the motivation of this thesis is to create an open source tool to mitigate the damage done by ransomware attacks. Windows filter drivers are a very powerful toolset and offer functionality that can help identify and or restrict malicious intent. The main problem with filter drivers despite how powerful they are is, that the theory behind it is complex and there are not many papers available about the windows filter driver framework, except for the official Microsoft documentation. This is one of the reasons why the biggest part of this thesis focuses on understanding how filter drivers work and how they can be used to restrict access to files. Filter Drivers have proven to be very effective for this kind of approach and successful filtering by process-id was achieved, with the only downfall being, that the machine must be set into the "test mode" to allow attaching the self signed filter drivers onto Windows.

Statistik
Das PDF-Dokument wurde 8 mal heruntergeladen.
Lizenz
CC-BY-Lizenz (4.0)Creative Commons Namensnennung 4.0 International Lizenz