RIPlace: En enkel unnvikelsesteknikk som gjør omgåelse av AV og Ransomware-beskyttelse mulig

Ransomware har vist seg å være en plage på verdensbasis, med noen angrep som koster millioner av dollar. Se for deg hva som ville skje hvis det er et koordinert cyberangrep. Forskere fra Cambridge University anslår at hvis et slikt koordinert angrep skulle ramme 600 000 bedrifter rundt om i verden, ville det koste verdensøkonomien opptil 184 milliarder dollar. Forskere deler at i sitt modellerte scenario lanseres angrepet gjennom ondsinnede e-poster som, når de er aktivert, kan kryptere data på nesten 30 millioner enheter i løpet av 24 timer. Høres skummelt ut, ikke sant?

Når du vet dette, hvordan ville du føle det hvis det er en måte for ransomware å omgå fullstendig alle sikkerhetstiltak på datamaskiner som AV (Anti-Virus) programvare og ekstra ransomware funksjoner? Ikke bra, satser vi. Dessverre kan dette scenariet bli sant. Sikkerhetsforskere ved Nyotron har oppdaget en ny unnvikelsesteknikk kalt RIPlace som har potensial til å endre måten ransomware fungerer ved å gjøre det usynlig for sikkerhetsprogramvare.

Om RIPlace

Våren 2019 fulgte Nyotrons forskerteam den ansvarlige avsløringsprosessen og delte at de har oppdaget en unndragelsesteknikk som kan hjelpe skadelig programvare å omgå de fleste AV-, anti-ransomware- og Endpoint Detection & Response (EDR) -produkter. På grunn av sin evne til å unndra seg deteksjon ved å erstatte sensitive filer på offerets maskin, kalte forskerne det "RIPlace" - en kombinasjon av erstatningsfunksjonen og RIP (Rest in Peace), da de erstatte originalfilene ikke lenger eksisterer.

Hva gjør RIPlace så farlig

  • Unngåelsesteknikken kan brukes på maskiner som kjører Windows XP eller nyere versjoner.
  • Det vil bare ta noen få linjer med kode for å omgå ransomware-beskyttelsesfunksjonene som er installert på offerets maskin.
  • RIPlace fungerer selv på systemer som er rettet rettidig og kjører oppdaterte AV-produkter.
  • Innebygde ransomware-beskyttelsesfunksjoner og andre sikkerhetsprodukter kan unngås takket være RIPlace.

Hvordan RIPlace klarer å omgå ransomware-beskyttelse

riplace ransomware forskjellen prosess
Fig.1: Hvordan ransomware fungerer og hvordan RIPlace gjør en forskjell. Kilde: Nyotron

Som vist på fig. 1 er mest kjent ransomware for å utføre følgende handlinger etter en vellykket aktivering:

  1. Åpne / lese originale filer.
  2. Krypter innhold.
  3. Lagre den krypterte filen på Disk.
  4. Bytt ut den krypterte filen med den originale.

Med den nye unnvikelsesteknikken er det en forskjell når det kommer til fjerde trinn der RIPlace gir nytt navn til og erstatter filer. Når en forespørsel om navn endres (IRP_MJ_SET_INFORMATION med FileInformationClass satt til FileRenameInformation), får filterdriveren en tilbakeringing for å filtrere forespørselen. Nyotrons forskerteam fant ut at hvis DefineDosDevice (en arvfunksjon som oppretter en symlink) blir kalt før Gi nytt navn, vil det være mulig å passere et vilkårlig navn som enhetsnavnet, og den opprinnelige filstien som målet å peke på.

Med RIPlace, "klarer ikke tilbakeringingsfunksjonens filterdriver å analysere destinasjonsstien når du bruker den vanlige rutinen FltGetDestinationFileNameInformation." Selv om det returnerer en feil når du passerer en DosDevice-bane, er samtalen Gi nytt navn vellykket.

Når det er sagt, kan AV / ransomware-beskyttelsesproduktene ikke håndtere IRP_MJ_SET_INFORMATION tilbakeringing riktig, kan det være mulig for cyberangrepere å omgå dem ved hjelp av RIPlace-teknikken. Nyontron-forskere bemerker at denne sårbarheten kan misbrukes av angripere for å unngå å få registrert sin aktivitet av EDR-produkter, samt for å omgå sikkerhetsprodukter som er avhengige av FltGetDestinationFileNameInformation rutine.

Det er ingen rapporter om at RIPlace blir brukt i naturen

"Vi har ikke sett RIPlace-unnvikelsesteknikken brukt i naturen ennå. Vi tror imidlertid det bare er et spørsmål om tid. Cybercriminals utnytter ofte avslørte sårbarheter i løpet av dager om ikke timer. Dessverre er denne teknikken triviell å bruke, og krever bokstavelig talt to kodelinjer å implementere, "sier Nir Gaist (Nyotron CTO / medgründer) i et intervju for Digital Journal .

Angrep innen nettfisking og ransomware har vært enormt vellykket de siste årene, så det er ingen tvil om at de i 2020 vil fortsette å trives, spesielt på tvers av lokale, statlige og helseinstitusjoner. Hvis angripere skulle bruke RIPlace-teknikken, ville innvirkningen være katastrofal.

Bare noen få sikkerhetsleverandører har tatt proaktive tiltak mot RIPlace-teknikker

Det er tydelig at RIPlace i gale hender potensielt kan gjøre ransomware ustoppelig. Nyotron røpet problemet til sikkerhetsleverandører, men ikke alle så RIPlace som en trussel, og hevdet at det fremdeles ikke er brukt av cyberangrepere. Likevel ville det smarteste være å løse problemet, i stedet for å vente på at det verste skal skje . Så langt har bare en håndfull leverandører tatt opp problemet i produktene sine.

Microsoft uttalte at RIPlace-teknikken ikke anses som en sårbarhet siden den ikke oppfyller kriteriene for sikkerhetstjeneste. Selv med sin CFA (Controlled Folder Access) ransomware-beskyttelsesfunksjon aktivert, kan RIPlace-bypass fremdeles utføres, som demonstrert i Nyotrons video:

Det er fastslått at alle versjoner av Microsoft Windows (fra Windows XP til den nyeste Windows 10) er utsatt for dette sikkerhetsproblemet, selv om de har de nyeste og største sikkerhetsproduktene AV, NGAV og EDR.

Nyotron-teamet har også gitt ut et gratis verktøy for folk som vil teste sine systemer og / eller sikkerhetsprodukter mot RIPlace.

Innen Zane
March 3, 2020
Ransomware
Norsk
March 3, 2020
Ransomware

Populære innlegg

Microsoft advarer statsstøttede trusselaktører bruker AI i angrep

4 days siden

Trojan Al11 Malware Deteksjon

11 months siden

Pinaview er en Adware-app med alle funksjoner

10 months siden

Popup-vinduer "Din iCloud blir hacket" og "Din iPhone har...

7 months siden

Hva er Lucky Ransomware?

7 months siden

«American Express – Oppdater kontoinformasjonen din»...

6 months siden
Norsk
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.