„RIPlace“: Paprasta vengimo technika, leidžianti apeiti AV ir „Ransomware“ apsaugą

Įrodyta, kad „Ransomware“ kelia nepatogumų pasauliniu mastu, kai kurios atakos kainuoja milijonus dolerių. Įsivaizduokite, kas nutiktų, jei įvyktų suderinta kibernetinė ataka. Kembridžo universiteto tyrėjai apskaičiavo, kad jei tokia suderinta ataka užpultų 600 000 verslo įmonių visame pasaulyje, tai pasaulinei ekonomikai kainuotų iki 184 milijardų JAV dolerių. Tyrėjai dalijasi, kad pagal jų modelį išpuolis pradedamas kenkėjiškais el. Laiškais, kurie, suaktyvinę, per 24 valandas gali užšifruoti duomenis apie 30 milijonų įrenginių. Skamba baisiai, tiesa?

Žinodami tai, kaip jūs jaustumėtės, jei ransomware galėtų visiškai apeiti visas kompiuterių, tokių kaip AV (antivirusinė) programinė įranga, ir papildomas ransomware funkcijas? Negerai, lažinamės. Deja, šis scenarijus gali pasiteisinti. „Nyotron“ saugumo tyrinėtojai atrado naują vengimo metodą, vadinamą „RIPlace“ , kuris gali pakeisti ransomware veikimo būdą , padarydamas jį nematomu saugos programinei įrangai.

Apie RIPlace

2019 m. Pavasarį „Nyotron“ tyrimų komanda stebėjo atsakingo informacijos atskleidimo procesą ir pasidalijo, kad atrado vengimo metodą, kuris galėtų padėti kenkėjiškoms programoms apeiti daugumą AV, anti-ransomware ir „Endpoint Detection & Response“ (EDR) produktų. Dėl savo sugebėjimo išvengti aptikimo pakeisdami slaptus failus savo aukos mašinoje, tyrėjai pavadino jį „RIPlace“ - pakeitimo funkcijos ir RIP („Rest in Peace“) deriniu, nes pakeistų originalių failų nebeegzistuoja.

Kas daro „RIPlace“ tokį pavojingą

• Vengimo technika gali būti naudojama mašinose, kuriose veikia „Windows XP“ ar naujesnės versijos.
• Norint apeiti aukos mašinoje įdiegtas apsaugos nuo išpirkos programas, reiktų tik kelių kodo eilučių.
• „RIPlace“ veikia net sistemose, kurios yra laiku pataisytos ir naudojasi naujausiais AV produktais.
• „RIPlace“ dėka galima išvengti integruotų išpirkos programų apsaugos funkcijų ir kitų saugos produktų.

Kaip „RIPlace“ sugeba apeiti „ransomware“ apsaugą

1 pav. Kaip veikia ransomware ir kaip keičiasi „RIPlace“. Šaltinis: Nyotron

Kaip parodyta 1 pav., Žinoma, kad dauguma išpirkos programų vykdo šiuos veiksmus po sėkmingo suaktyvinimo:

1. Atidaryti / skaityti originalius failus.
2. Šifruokite turinį.
3. Išsaugokite užšifruotą failą diske.
4. Pakeiskite užšifruotą failą originaliu.

Taikant naująją vengimo techniką, yra skirtumas, kai reikia atlikti ketvirtą veiksmą, kuriame „RIPlace“ pervardija ir pakeičia failus. Kai iškviečiama užklausa pervardyti (IRP_MJ_SET_INFORMATION, kai „FileInformationClass“ nustatyta kaip „FileRenameInformation“), filtro tvarkyklė gauna atšaukimą užklausai filtruoti. „Nyotron“ tyrimų komanda nustatė, kad jei „DefineDosDevice“ (seną funkciją, sukuriančią nuorodą) bus iškviestas prieš pervardyti, bus galima perduoti savavališką pavadinimą kaip įrenginio pavadinimą, o originalų failo kelią kaip tikslą, į kurį reikia nukreipti.

Naudojant „RIPlace“, „atgalinio ryšio funkcijos filtro tvarkyklė nepavyksta parsiduoti tikslo kelio, kai naudojama bendra įprasta FltGetDestinationFileNameInformation“. Nors pervadinus „DosDevice“ kelią, jis grąžina klaidą, pervardyti skambutį pavyko.

Nepaisant to, jei jūsų AV / ransomware apsaugos produktai negali tinkamai suvaldyti IRP_MJ_SET_INFORMATION atšaukimo, tai gali būti, kad kibernetiniai užpuolikai gali juos apeiti naudodami RIPlace techniką. „Nyontron“ tyrėjai pažymi, kad užpuolikai gali naudoti šį pažeidžiamumą, kad išvengtų jų veiklos įrašymo naudojant EDR produktus, taip pat apeiti saugos produktus, kurie remiasi „FltGetDestinationFileNameInformation“ rutina.

Nėra pranešimų apie „RIPlace“ naudojimą gamtoje

"Mes dar nematėme„ RIPlace "vengimo technikos, naudojamos gamtoje. Tačiau mes manome, kad tai tik laiko klausimas. Kibernetiniai nusikaltėliai dažnai pasinaudoja atskleistomis spragomis per kelias dienas ar net valandas. Deja, ši technika yra nereikšminga, reikalaujanti pažodžiui dviejų. kodo linijų, kurias reikia įgyvendinti “, - sako Nir Gaist („ Nyotron CTO “/ vienas iš įkūrėjų) interviu„ Digital Journal “ .

Sukčiavimo ir sukčiavimo programų išpuoliai pastaruosius kelerius metus buvo nepaprastai sėkmingi, todėl neabejojama, kad 2020 m. Jie ir toliau klestės, ypač vietinėse, valstybinėse ir sveikatos priežiūros įstaigose. Jei užpuolikai naudotųsi „RIPlace“ technika, poveikis būtų katastrofiškas.

Tik keli apsaugos paslaugų teikėjai ėmėsi iniciatyvių veiksmų prieš „RIPlace“ metodus

Akivaizdu, kad esant netinkamoms rankoms, „RIPlace“ gali padaryti nesustabdomą ransomware. „Nyotron“ atskleidė problemą saugumo pardavėjams, tačiau ne visi įžvelgė „RIPlace“ kaip grėsmę, teigdami, kad kibernetiniai užpuolikai jos vis dar nenaudojo. Vis dėlto protingiausia būtų išspręsti problemą, o ne laukti blogiausio . Iki šiol tik nedaugelis pardavėjų nagrinėjo šią problemą savo gaminiuose.

„Microsoft“ pareiškė, kad „RIPlace“ technika nėra laikoma pažeidžiamumu, nes ji neatitinka jų saugos aptarnavimo kriterijų. Net įjungus „CFA“ (kontroliuojamos aplanko prieigos) ransomware apsaugos funkciją, „RIPlace“ aplinkkelis vis tiek gali būti vykdomas, kaip parodyta Nyotron vaizdo įraše:

Nustatyta, kad visos „Microsoft Windows“ versijos (nuo „Windows XP“ iki naujausios „Windows 10“) yra veikiamos šios spragos, net jei jose yra įdiegti naujausi ir geriausi iš AV, NGAV ir EDR saugos produktų.

„Nyotron“ komanda taip pat išleido nemokamą įrankį žmonėms, norintiems išbandyti savo sistemas ir (arba) saugos produktus nuo „RIPlace“.