SentinelOne Rollback – Proteção Contra Ransomware

Neste artigo vamos falar sobre o recurso do SentinelOne Rollback para proteção e mitigação de ataques de Ransomware. Nos meus textos anteriores, expliquei como a solução de proteção de endpoint de última geração SentinelOne funciona. Descrevi seus recursos gerais, características da proteção avançada contra Ransomware, malware e outros, sua tecnologia de controle USB e mídias removíveis e demais pontos.

A solução SentinelOne é atualmente a tecnologia que mais cresce no mercado, segundo o Garther Peer Insigths, plataforma de avaliação independente de clientes, a SentinelOne é recomendada por mais de 96% dos clientes como a melhor solução de antivírus – com uma nota de 4.9 de um total de 5.

Com sua tecnologia baseada em Inteligência Artificial (AI) e resposta autônoma, a solução SentinelOne é capaz de proteger computadores e servidores dos mais modernos ataques cibernéticos.

Neste artigo, vou dar um mergulho profundo em um dos recursos mais interessantes e importantes da solução, o recurso de Rollback – capaz de proteger os computadores e servidores da sua empresa mesmo após um ataque bem-sucedido de Ransomware.  Continue lendo este artigo para saber mais.

 

Entendendo o recurso de Volume Shadow Copy do Windows

 

Antes de entendermos como a tecnologia de Rollback do SentinelOne funciona, precisamos entender mais a fundo como o sistema operacional Windows implementa o recurso de Volume Shadow Copy (VSS).

O recurso de VSS foi desenvolvido para manter cópias de backup de volumes e arquivos do computador. O VSS opera por meio de três componentes principais, são eles:

 

  • VSS Requestor (solicitador): normalmente a ferramenta de backup que pede para criar uma cópia de sombra.
  • VSS Provider (provedor): uma interface do sistema usada para criar a cópia de sombra.
  • VSS Writer (gravador): serviço especial para um aplicativo compatível com VSS que garante que os dados para backup estejam prontos para a criação de cópias de sombra.

 

Por meio da sinergia entre esses 3 componentes o recurso de VSS cria uma “cópia instantânea” de um volume ou arquivo, garantindo que para cada operação de gravação em disco, exista uma cópia do arquivo salvo em um local de armazenamento temporário, criado pelo recurso de VSS.

Podemos fazer uma analogia com o processo de backup de uma máquina virtual, como ocorre em servidores de virtualização VMware e Hyper-V. O conceito é o mesmo utilizado nessas tecnologias.

Tal processo de mover cópias dos arquivos para um local de armazenamento permite que a tecnologia de VSS do Windows tire uma instantâneo dos arquivos que foram alterados. A tecnologia de VSS foi introduzida nas versões do Windows XP / Server 2003, e deste então, vem sendo utilizadas em larga escala.

O serviço de rollback do SentinelOne possuí integração com essa tecnologia, a partir do sistema operacional Windows Vista / Windows Server 2008 em diante. Atualmente o recurso de rollback está disponível somente para plataformas Microsoft. Não sendo compatível com sistemas MacOs e Linux.

 

A figura abaixo ilustra os 3 componentes da tecnologia de VSS – O SentinelOne integrado ao VSS faz o papel de Requestor.

 

 

 

Como o SentinelOne utiliza o VSS para proteger sua empresa contra-ataques de Ransomware

 

A tecnologia do SentinelOne utiliza o instantâneo do VSS para fornecer o recurso de reversão (rollback) no caso de um ataque de Ransomware, provendo uma camada para que os arquivos das computadores sejam revertidos ao seu estado original após um ataque de criptografia.

O SentinelOne atua como um Requestor (solicitador), interagindo com o serviço de VSS para criar, gerenciar e proteger o instantâneo, detectando qualquer tentativa de deleção e adulteração nos backups VSS.

A integração do SentinelOne com o VSS do Windows oferece aos administradores de TI e os Analistas de Cibersegurança a capacidade de criar instantâneos de VSS nos computadores e servidores, diretamente do console em nuvem, sem a necessidade de acesso direto ao sistema operacional.

 

 

SentinelOne Snapshot

 

Observação: Um ponto muito importante é que as capturas de instantâneos feitas pelo SentinelOne são de 4 horas, começando a partir do momento da instalação. Caso o computador esteja desligado ou entre em hibernação por uma hora ao meio-dia, o próximo instantâneo será as 17h e não as 16h. O tempo de 4 horas é contabilizado em ciclos, considerando sempre o momento que o computador está disponível.

 

Sentinelone vs Ransomware – Teste de Rollback na prática

 

Para validar o recurso de rollback, montamos um ambiente simulando um cenário real, no qual um Ransomware é executado no ambiente sem nenhum bloqueio, de modo a demostrar como o SentinelOne pode recuperar os arquivos e as configurações da máquina vítima ao seu estado anterior, antes do ataque, por meio da integração e proteção do recurso de VSS (já que o Ransomware tenta destruir as cópias de sombra no início do ataque – veremos mais detalhes deste ponto a frente).

O ambiente foi configurado com uma máquina rodando a versão do sistema operacional Windows 10 – Pro.

 

 

SentinelOne – Configuração Windows 10

 

 

 

Para esta simulação utilizaremos o famoso Ransomware Gandcrab lançado em 2018 e muito famoso no submundo do crime cibernético, segundo informações públicas os seus criados lucraram mais de US$ 2 bilhões de dólares com esse malware e infectaram mais de 1,5 milhões de computadores.

Para o nosso exemplo, vamos baixar o malware da internet, em um cenário da vida real as formas mais comuns de entrega são através de um e-mail onde está embutido em um link ou anexado como uma macro em documentos do Microsoft Word / Excel.

 

A metodologia para elaboração do teste de execução do Ransomware foi dividido em 4 etapas:

 

ETAPA 1:  Instalação do agente do SentinelOne na máquina vítima que irá sofrer o ataque de Ransomware. Para isso vamos fazer o login no portal cloud do SentinelOne e baixar o arquivo executável do agente. Depois disso, precisamos configurar apropriadamente a política, este ponto é fundamental, pois devemos configurar a política como detectar (detect), pois caso contrário, Ransomware será bloqueado imediatamente. Para o nosso caso queremos que o SentinelOne somente detecte e monitore a ação da ameaça, deixando que ela criptografe os arquivos.

 

 

 

 

 

 

 

 

IMPORTANTE: Após a instalação do agente do SentinelOne, devemos avaliar se o recurso de VSS está ativo e em execução. Garantindo assim que o agente do antivírus SentinelOne será capaz de se conectar e se integrar ao mesmo. Essa etapa é fundamental, pois o SentinelOne depende do serviço de VSS para tirar um instantâneo logo após a primeira instalação.

 

SentinelOne – Serviço Windows

 

 

ETAPA 2:  Agora vamos executar o ataque de Ransomware propriamente dito, para isso baixamos um executável do malware na máquina vítima. Depois do download clicamos duas vezes sobre o malware, devido a sua natureza maliciosa o SentinelOne detectou a ameaça, porém permitiu que ela continuasse em execução (lembre-se, nos configuramos isso na política, para que ele não fizesse o bloqueio ?).

Resultado o SentinelOne mostrou o alerta no seu painel e permitiu a execução do arquivo, conforme IMAGEM – ITEM 1:

 

 

Detecção da Ameaça do Ransomware no SentinelOne

 

 

Logo após a execução do Ransomware, o impacto é percebido na máquina vítima, nossos dados foram completamente criptografados e, posteriormente renomeados com a extensão. KRAB, indicando que agora eles estão em posse dos criminosos.

Em seguida um arquivo nomeado KRAB-DECRYPT.txt é criado na área de trabalho, esse arquivo possui a orientação para pagamento do resgate e o site da Deepweb que deve ser acesso pela vítima, para negociar com o grupo Hacker.

 

Ao avaliar a pasta Arquivos Pessoais, encontramos todos nossos arquivos Criptografados, infelizmente fomos uma vítima de ataque de Ransomware, temos certeza pois os arquivos agora têm a extensão. KRAB – conforme IMAGEM – ITEM 2.

 

 

SentinelOne Rollback
SentinelOne – Arquivos Criptografados Ransomware

 

 

ETAPA 3:  Agora nosso time de Cibersegurança precisa responder ao incidente, para isso vamos acessar o console do SentinelOne em nuvem e utilizar o recurso de Rollback para remover a ameaça e recuperar nossos arquivos ao estado original, antes do ataque e da criptografia.

Para isso iremos identificar no console do SentinelOne o evento associado ao ataque de Ransomware:

 

 

SentinelOne Rollback

 

Feita a identificação do evento, podemos em seguida iniciar a tratativa. O SentinelOne nos dá 4 opções para tratar os eventos, em outro artigo iremos explicar em maiores detalhes cada uma delas, por hora vamos focar na tratativa de Rollback.

 

A tratativa de Rollback irá nos possibilitar a restauração completa dos arquivos criptografados, a deleção da ameaça do sistema operacional e dos processos maliciosos associados, bem como a restauração das configurações do sistema operacional, alterados durante o ataque.

Vale ressaltar que a recuperação será feita com base no último Snapshot do VSS, que ocorre a cada 4 horas, conforme já explicado.

A animação abaixo demostra todo o processo de Rollback & Recovery no portal da SentinelOne:

 

 

Agora vamos comparar o ataque antes e depois da tratativa dos incidentes:

 

ARQUIVOS APÓS O ATAQUE – CRIPTOGRAFADOS – EXTENSÃO. KRAB

 

SentinelOne Rollback
Arquivos Criptografados Ransomware

 

 

ARQUIVOS RECUPERADOS VIA SENTINELONE – RECURSO DE ROLLBACK – TOTALMENTE ÍNTEGROS E ACESSÍVEIS

 

SentinelOne Rollback

 

 

Para finalizar, muitos clientes me perguntam como o SentinelOne consegue restaurar os arquivos mesmo o Ransomware deletando as cópias de sombra. Neste ponto entra uma grande vantagem da solução, ela é capaz de proteger a cópia de sombra, mesmo o Ransomware executando o comando de delete. Não é foco deste artigo descrever esse recurso em detalhes, mas a imagem abaixo demostra a tentativa do Ransomware de apagar a cópia de sombra. O que não foi possível na prática, pois o Antivírus SentinelOne fez seu trabalho e a manteve protegida.

 

 

SentinelOne Rollback

 

 

 

CONCLUSÃO SENTINELONE ROLLBACK VS RANSOMWARE

 

Como demostrado e detalhado neste artigo o recurso de Rollback da solução SentinelOne agrega muito valor na estratégia de proteção e mitigação de riscos de Ataque Ransomware, sendo capaz de agir mesmo após o impacto concretizado.

Sua tecnologia de proteção do VSS do Windows, mantém a vigilância sobre tentativas de apagar ou modificar as cópias de sombra, garantindo que os backups dos arquivos se mantenham íntegros ao longo do tempo. Esse recurso complementa sua estratégia de proteção, entregando mais um recurso de proteção e recuperação para seu time de tecnologia & Cibersegurança.

O SentinelOne é um Antivírus de próxima geração de ponta, com centenas de recursos, como aprendizado de máquina e inteligência artificial, capaz de monitorar de forma constante  todos os processos executados nos servidores e computadores do ambiente, tudo isso com baixo consumo de memória e CPU. A solução está revolucionando o mercado de proteção de antivírus e EDR (Endpoint Detection and Response). Oferecendo visibilidade total da rede, dos endpoint, dos arquivos e processos, com monitoramento em tempo real.

Percebeu como a SentinelOne é a melhor solução para a sua empresa e oferece benefícios como maior produtividade, disponibilidade e segurança? A DCIT Tecnologia é parceira reconhecida e especialista em soluções de segurança SentinelOne Brasil, o que garante melhor utilização dos recursos, suporte diferenciado, maior performance e tranquilidade para a sua equipe se concentrar no que é mais importante para o seu negócio. Entre em contato e agende uma apresentação!

 

Quer ver o SentinelOne em ação, solicite uma demonstração gratuita!

 

SentinelOne cibersegurança

Perfil do Autor

Leandro Lima
Leandro Lima
Atualmente exerce a função de Diretor Tecnologia & Produtos na NowCy. Possui 12 anos de experiência em Infraestrutura de TI e Segurança da Informação. Atuando na coordenação e elaboração de projetos para organizações governamentais e privadas. Possuí dezenas de certificações profissionais, em destaque: Fortinet NSE 1, 2, 3, + Cisco CCNA R&S & CCNP R&S - ITIL - IPv6 Enginner - SentinelOne Core - Picus Security, dentre outras.

Compartilhe