RIPlace: una técnica de evasión simple que hace posible evitar la protección antivirus y de ransomware

El ransomware ha demostrado ser una molestia a escala mundial, con algunos ataques que cuestan millones de dólares. Imagine lo que sucedería si hubiera un ciberataque coordinado. Los investigadores de la Universidad de Cambridge estimaron que si un ataque tan coordinado afectara a 600,000 empresas en todo el mundo, le costaría a la economía global hasta $ 184 mil millones. Los investigadores comparten que, en su escenario modelado, el ataque se lanza a través de correos electrónicos maliciosos que, una vez activados, pueden cifrar datos en casi 30 millones de dispositivos en 24 horas. Suena aterrador, ¿verdad?

Sabiendo eso, ¿cómo te sentirías si hubiera una forma en que el ransomware elude por completo todas las medidas de seguridad en computadoras como el software AV (antivirus) y las características adicionales del ransomware? No es bueno, apostamos. Lamentablemente, este escenario puede hacerse realidad. Los investigadores de seguridad de Nyotron han descubierto una nueva técnica de evasión llamada RIPlace que tiene el potencial de cambiar la forma en que funciona el ransomware al hacerlo invisible para el software de seguridad.

Sobre RIPlace

En la primavera de 2019, el equipo de investigación de Nyotron siguió el proceso de divulgación responsable y compartió que descubrieron una técnica de evasión que podría ayudar al malware a evitar la mayoría de los productos AV, anti-ransomware y Endpoint Detection & Response (EDR). Debido a su capacidad para evadir la detección mediante el reemplazo de archivos confidenciales en la máquina de su víctima, los investigadores lo llamaron "RIPlace", una combinación de la función de reemplazo y RIP (Rest in Peace), ya que los archivos originales reemplazados ya no existen.

¿Qué hace que RIPlace sea tan peligroso?

  • La técnica de evasión se puede utilizar en máquinas con Windows XP o versiones más recientes.
  • Solo tomaría unas pocas líneas de código para evitar las funciones de protección contra ransomware instaladas en la máquina de la víctima.
  • RIPlace funciona incluso en sistemas que se actualizan oportunamente y ejecutan productos AV actualizados.
  • Gracias a RIPlace, se pueden evitar las funciones de protección contra ransomware incorporadas y otros productos de seguridad.

Cómo RIPlace logra evitar la protección contra ransomware

proceso de diferencia de ransomware riplace
Fig.1: Cómo funciona el ransomware y la forma en que RIPlace hace la diferencia. Fuente: Nyotron

Como se muestra en la figura 1, se sabe que la mayoría del ransomware realiza las siguientes acciones después de una activación exitosa:

  1. Abrir / leer archivos originales.
  2. Cifrar contenido.
  3. Guarde el archivo encriptado en el disco.
  4. Reemplace el archivo encriptado con el original.

Con la nueva técnica de evasión, hay una diferencia cuando se trata del cuarto paso donde RIPlace cambia el nombre y reemplaza los archivos. Cuando se llama a una solicitud de cambio de nombre (IRP_MJ_SET_INFORMATION con FileInformationClass establecido en FileRenameInformation), el controlador de filtro recibe una devolución de llamada para filtrar la solicitud. El equipo de investigación de Nyotron descubrió que si se llama a DefineDosDevice (una función heredada que crea un enlace simbólico) antes de Rename, será posible pasar un nombre arbitrario como el nombre del dispositivo y la ruta del archivo original como el objetivo para apuntar.

Con RIPlace, "el controlador de filtro de la función de devolución de llamada no puede analizar la ruta de destino al usar la rutina común FltGetDestinationFileNameInformation". Aunque devuelve un error al pasar una ruta de DosDevice, la llamada Rename es exitosa.

Dicho esto, si sus productos de protección AV / ransomware no pueden manejar la devolución de llamada IRP_MJ_SET_INFORMATION correctamente, es posible que los atacantes cibernéticos los eviten utilizando la técnica RIPlace. Los investigadores de Nyontron señalan que los atacantes pueden abusar de esta vulnerabilidad para evitar que su actividad sea registrada por los productos EDR, así como para eludir los productos de seguridad que dependen de la rutina FltGetDestinationFileNameInformation.

No hay informes sobre el uso de RIPlace en la naturaleza

"Todavía no hemos visto la técnica de evasión RIPlace utilizada en la naturaleza. Sin embargo, creemos que es solo cuestión de tiempo. Los ciberdelincuentes a menudo aprovechan las vulnerabilidades reveladas en días o incluso horas. Desafortunadamente, esta técnica es trivial de usar, requiere literalmente dos líneas de código para implementar ", dice Nir Gaist (CTO / cofundador de Nyotron) en una entrevista para Digital Journal .

Los ataques de phishing y ransomware han sido inmensamente exitosos durante los últimos años, por lo que no hay duda de que en 2020 continuarán prosperando, especialmente en las instituciones locales, estatales y de atención médica. Si los atacantes usaran la técnica RIPlace, el impacto sería catastrófico.

Solo unos pocos proveedores de seguridad han tomado medidas proactivas contra las técnicas de RIPlace

Es evidente que en las manos equivocadas, RIPlace podría hacer que el ransomware sea imparable. Nyotron reveló el problema a los proveedores de seguridad, pero no todos vieron a RIPlace como una amenaza, argumentando que todavía no ha sido utilizado por los ciberatacantes. Aun así, lo más inteligente sería solucionar el problema, en lugar de esperar a que ocurra lo peor . Hasta ahora, solo unos pocos vendedores han abordado el problema en sus productos.

Microsoft declaró que la técnica RIPlace no se considera una vulnerabilidad ya que no cumple con sus Criterios de servicio de seguridad. Incluso con su función de protección contra ransomware CFA (acceso controlado a carpetas) habilitada, el bypass RIPlace todavía se puede ejecutar, como se demuestra en el video de Nyotron:

Se ha establecido que todas las versiones de Microsoft Windows (desde Windows XP hasta la última versión de Windows 10) están expuestas a esta vulnerabilidad, incluso si tienen instalados los últimos y mejores productos de seguridad AV, NGAV y EDR.

El equipo de Nyotron también ha lanzado una herramienta gratuita para las personas que desean probar sus sistemas y / o productos de seguridad contra RIPlace.

March 3, 2020
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.