RIPlace: une technique d'évasion simple qui permet de contourner la protection antivirus et antivirus possible

Les ransomwares se sont révélés être une nuisance à l'échelle mondiale, certaines attaques coûtant des millions de dollars. Imaginez ce qui se passerait en cas de cyberattaque coordonnée. Les chercheurs de l'Université de Cambridge ont estimé que si une telle attaque coordonnée devait toucher 600 000 entreprises dans le monde, cela coûterait à l'économie mondiale jusqu'à 184 milliards de dollars. Les chercheurs partagent que dans leur scénario modélisé, l'attaque est lancée par le biais d'e-mails malveillants qui, une fois activés, peuvent crypter les données sur près de 30 millions d'appareils en 24 heures. Cela semble effrayant, non?

Sachant cela, que ressentiriez-vous s'il y avait un moyen pour un ransomware de contourner complètement toutes les mesures de sécurité sur des ordinateurs comme le logiciel AV (Anti-Virus) et des fonctionnalités supplémentaires de ransomware? Pas bon, on parie. Malheureusement, ce scénario peut devenir réalité. Les chercheurs en sécurité de Nyotron ont découvert une nouvelle technique d'évasion appelée RIPlace qui a le potentiel de changer le fonctionnement du ransomware en le rendant invisible pour les logiciels de sécurité.

À propos de RIPlace

Au printemps 2019, l'équipe de recherche de Nyotron a suivi le processus de divulgation responsable et a partagé qu'elle avait découvert une technique d'évasion qui pourrait aider les logiciels malveillants à contourner la plupart des produits AV, anti-ransomware et Endpoint Detection & Response (EDR). En raison de sa capacité à échapper à la détection en remplaçant les fichiers sensibles sur la machine de sa victime, les chercheurs l'ont appelé "RIPlace" - une combinaison de la fonction de remplacement et de RIP (Rest in Peace), car les fichiers originaux remplacés n'existent plus.

Ce qui rend RIPlace si dangereux

  • La technique d'évasion peut être utilisée sur des machines exécutant Windows XP ou des versions plus récentes.
  • Il ne faudrait que quelques lignes de code pour contourner les fonctionnalités de protection contre les ransomwares installées sur la machine de la victime.
  • RIPlace fonctionne même sur les systèmes qui sont corrigés en temps opportun et exécutent des produits audiovisuels à jour.
  • Les fonctionnalités de protection contre les ransomwares et autres produits de sécurité intégrés peuvent être éludés grâce à RIPlace.

Comment RIPlace parvient à contourner la protection contre les ransomwares

processus de différence de ransomware riplace
Fig.1: Comment fonctionne le ransomware et comment RIPlace fait la différence. Source: Nyotron

Comme le montre la Fig.1, la plupart des ransomwares sont connus pour effectuer les actions suivantes après une activation réussie:

  1. Ouvrez / lisez les fichiers originaux.
  2. Cryptez le contenu.
  3. Enregistrez le fichier crypté sur le disque.
  4. Remplacez le fichier crypté par le fichier d'origine.

Avec la nouvelle technique d'évasion, il y a une différence en ce qui concerne la quatrième étape où RIPlace renomme et remplace les fichiers. Lorsqu'une demande de changement de nom est appelée (IRP_MJ_SET_INFORMATION avec FileInformationClass définie sur FileRenameInformation), le pilote de filtre reçoit un rappel pour filtrer la demande. L'équipe de recherche de Nyotron a constaté que si DefineDosDevice (une fonction héritée qui crée un lien symbolique) est appelée avant Renommer, il sera possible de passer un nom arbitraire comme nom de périphérique et le chemin du fichier d'origine comme cible à pointer.

Avec RIPlace, «le pilote de filtre de fonction de rappel ne parvient pas à analyser le chemin de destination lors de l'utilisation de la routine commune FltGetDestinationFileNameInformation». Même s'il renvoie une erreur lors du passage d'un chemin DosDevice, l'appel Renommer réussit.

Cela étant dit, si vos produits de protection AV / ransomware ne peuvent pas gérer correctement le rappel IRP_MJ_SET_INFORMATION, il peut être possible pour les cyber-attaquants de les contourner en utilisant la technique RIPlace. Les chercheurs de Nyontron notent que cette vulnérabilité peut être exploitée par des attaquants pour éviter que leur activité ne soit enregistrée par les produits EDR, ainsi que pour contourner les produits de sécurité qui reposent sur la routine FltGetDestinationFileNameInformation.

Il n'y a aucun rapport sur l'utilisation de RIPlace dans la nature

«Nous n'avons pas encore vu la technique d'évasion RIPlace utilisée dans la nature. Cependant, nous pensons que ce n'est qu'une question de temps. Les cybercriminels exploitent souvent les vulnérabilités révélées en quelques jours, voire quelques heures. lignes de code à mettre en œuvre ", explique Nir Gaist (CTO de Nyotron / co-fondateur) dans une interview pour Digital Journal .

Les attaques de phishing et de ransomware ont connu un immense succès ces dernières années, il ne fait donc aucun doute qu'en 2020, elles continueront de prospérer, en particulier dans les établissements locaux, étatiques et de santé. Si les attaquants devaient utiliser la technique RIPlace, l'impact serait catastrophique.

Seuls quelques fournisseurs de sécurité ont pris des mesures proactives contre les techniques RIPlace

Il est évident que dans de mauvaises mains, RIPlace pourrait potentiellement rendre le ransomware imparable. Nyotron a divulgué le problème aux fournisseurs de sécurité, mais tout le monde ne voyait pas RIPlace comme une menace, arguant qu'il n'était toujours pas utilisé par les cyber-attaquants. Même ainsi, la chose la plus intelligente serait de résoudre le problème, plutôt que d' attendre que le pire se produise . Jusqu'à présent, seule une poignée de fournisseurs ont résolu le problème dans leurs produits.

Microsoft a déclaré que la technique RIPlace n'est pas considérée comme une vulnérabilité car elle ne répond pas à leurs critères de service de sécurité. Même avec leur fonction de protection contre les ransomwares CFA (Controlled Folder Access) activée, le contournement RIPlace peut toujours être exécuté, comme le montre la vidéo de Nyotron:

Il a été établi que toutes les versions de Microsoft Windows (de Windows XP à la dernière version de Windows 10) sont exposées à cette vulnérabilité, même si les derniers et meilleurs produits de sécurité AV, NGAV et EDR sont installés.

L'équipe Nyotron a également publié un outil gratuit pour les personnes qui souhaitent tester leurs systèmes et / ou produits de sécurité contre RIPlace.

March 3, 2020
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.