POC de minifilter para detecção de ransomware em Windows ganha tração entre analistas

Pesquisa publica PoC de minifilter (Sanctum/fs_minifilter) que intercepta eventos de escrita e renomeação no Windows para detectar padrões de ransomware, incluindo renomeações para extensões ligadas a IOCs e análise de entropia. Projeto inclui simulador em Rust e propostas de melhorias.

Pesquisadores publicaram um proof‑of‑concept de minifilter para detecção comportamental de ransomware em Windows, capaz de interceptar eventos de escrita e renomeação para sinalizar atividade suspeita em tempo real.

Resumo técnico da PoC

O trabalho, atribuído ao pesquisador 0xflux e disponível como projeto Sanctum/fs_minifilter no GitHub, usa a arquitetura de Filter Manager do Windows para registrar callbacks de I/O e inspecionar operações como gravações e renomeações de arquivos. A PoC detecta padrões típicos de ransomware — gravações rápidas, renomeações para extensões associadas a IOCs e aumento de entropia de arquivos — e reporta eventos a um componente em espaço de usuário para análise adicional.

Mecanismos e evidências

PostOperationSetInformation filtra renames (FileRenameInformation) e recupera nomes normalizados via FltGetFileNameInformation / FltParseFileNameInformation para comparar extensões.
A PoC inclui uma lista de extensões observadas em IOCs ligados a operadores como LockBit (ex.: ".HLJkNskOq") e dispara alertas quando há correspondência.
PostOperationCreate monitora flags de escrita (FILE_WRITE_DATA, FILE_APPEND_DATA) para marcar processos que requisitam acesso mutável a arquivos em múltiplos diretórios.
Um simulador em Rust demonstra o fluxo: criar/abrir um arquivo, escrever bytes aleatórios e renomear para a extensão maliciosa, gerando a detecção na PoC.

Vantagens e limitações

Como abordagem comportamental, o minifilter pode detectar ransomware polimórfico e fileless que escapa a assinaturas tradicionais. Entretanto, a PoC — embora inclua verificações de segurança para uso em produção — exige capacidade de execução em kernel e, portanto, cuidados rigorosos de teste antes de implantação em ambientes produtivos. Há também risco de falsos positivos se regras não forem calibradas com base nos perfis de I/O legítimos do ambiente.

Próximas melhorias propostas

Coleta em espaço de usuário de árvores de processo para correlação e redução de falsos positivos.
Análise parcial de arquivos para medir entropia em tempo real.
Rate‑limiting e congelamento de threads suspeitas como ação de contenção temporária.

Implicações para equipes de defesa

O projeto ilustra a tendência de integrar controles em nível de kernel com motores de correlação em espaço de usuário, complementando EDRs. Equipes de blue team podem aproveitar a PoC como referência arquitetural, mas devem avaliar riscos operacionais, compatibilidade com drivers de terceiros e impactos na estabilidade do sistema antes de considerar adaptações para produção.

Referência

Fonte: Cyber Security News — PoC de minifilter por 0xflux (Sanctum/fs_minifilter) e demonstração com simulador em Rust.