RIPlace: Uma técnica simples de evasão que possibilita ignorar a proteção antivírus e de ransomware

O ransomware provou ser um incômodo em escala global, com alguns ataques custando milhões de dólares. Imagine o que aconteceria se houvesse um ataque cibernético coordenado. Os pesquisadores da Universidade de Cambridge estimaram que, se um ataque coordenado atingisse 600.000 empresas em todo o mundo, custaria à economia global até US $ 184 bilhões. Os pesquisadores compartilham que, em seu cenário modelado, o ataque é iniciado por e-mails maliciosos que, uma vez ativados, podem criptografar dados em quase 30 milhões de dispositivos em 24 horas. Parece assustador, certo?

Sabendo disso, como você se sentiria se houvesse uma maneira de o ransomware ignorar completamente todas as medidas de segurança em computadores como o software AV (Anti-Virus) e recursos extras de ransomware? Não é bom, apostamos. Infelizmente, esse cenário pode se tornar realidade. Pesquisadores de segurança da Nyotron descobriram uma nova técnica de evasão chamada RIPlace que tem o potencial de alterar a maneira como o ransomware opera , tornando-o invisível para o software de segurança.

Sobre o RIPlace

Na primavera de 2019, a equipe de Pesquisa da Nyotron seguiu o processo de divulgação responsável e compartilhou que eles descobriram uma técnica de evasão que poderia ajudar o malware a ignorar a maioria dos produtos AV, anti-ransomware e Endpoint Detection & Response (EDR). Devido à sua capacidade de evitar a detecção, substituindo arquivos confidenciais na máquina da vítima, os pesquisadores o nomearam "RIPlace" - uma combinação da função de substituição e RIP (Rest in Peace), pois os arquivos originais substituídos não existem mais.

O que torna o RIPlace tão perigoso

  • A técnica de evasão pode ser usada em máquinas executando o Windows XP ou versões mais recentes.
  • Seriam necessárias apenas algumas linhas de código para ignorar os recursos de proteção de ransomware instalados na máquina da vítima.
  • O RIPlace funciona mesmo em sistemas com patches oportunos e que executam produtos AV atualizados.
  • Recursos de proteção de ransomware embutidos e outros produtos de segurança podem ser evitados graças ao RIPlace.

Como o RIPlace consegue ignorar a proteção de ransomware

processo de diferença de ransomware riplace
Fig.1: Como o ransomware funciona e a maneira como o RIPlace faz a diferença. Fonte: Nyotron

Conforme mostrado na Fig.1, a maioria dos ransomware é conhecida por executar as seguintes ações após uma ativação bem-sucedida:

  1. Abrir / ler arquivos originais.
  2. Criptografar o conteúdo.
  3. Salve o arquivo criptografado no disco.
  4. Substitua o arquivo criptografado pelo original.

Com a nova técnica de evasão, há uma diferença quando se trata da quarta etapa em que o RIPlace renomeia e substitui arquivos. Quando uma solicitação de renomeação é chamada (IRP_MJ_SET_INFORMATION com FileInformationClass definido como FileRenameInformation), o driver de filtro recebe um retorno de chamada para filtrar a solicitação. A equipe de pesquisa da Nyotron descobriu que, se DefineDosDevice (uma função herdada que cria um link simbólico) for chamado antes de Renomear, será possível passar um nome arbitrário como o nome do dispositivo e o caminho do arquivo original como o destino a ser apontado.

Com o RIPlace, "o driver do filtro da função de retorno de chamada falha ao analisar o caminho de destino ao usar a rotina comum FltGetDestinationFileNameInformation." Mesmo que ele retorne um erro ao transmitir um caminho de DosDevice, a chamada Renomear é bem-sucedida.

Dito isto, se os seus produtos de proteção AV / ransomware não conseguirem lidar adequadamente com o retorno de chamada IRP_MJ_SET_INFORMATION, pode ser possível que os invasores cibernéticos os ignorem usando a técnica RIPlace. Os pesquisadores da Nyontron observam que essa vulnerabilidade pode ser abusada pelos invasores para evitar que suas atividades sejam registradas pelos produtos EDR, além de ignorar os produtos de segurança que dependem da rotina FltGetDestinationFileNameInformation.

Não há relatórios sobre o uso do RIPlace na natureza

"Ainda não vimos a técnica de evasão do RIPlace na natureza. No entanto, acreditamos que é apenas uma questão de tempo. Os cibercriminosos geralmente aproveitam as vulnerabilidades divulgadas em dias, se não horas. Infelizmente, essa técnica é de uso trivial, exigindo literalmente duas linhas de código a serem implementadas ", diz Nir Gaist (Nyotron CTO / cofundador) em entrevista ao Digital Journal .

Os ataques de phishing e ransomware foram imensamente bem-sucedidos nos últimos anos, portanto, não há dúvida de que em 2020 eles continuarão a prosperar, especialmente em instituições locais, estaduais e de saúde. Se os atacantes usassem a técnica RIPlace, o impacto seria catastrófico.

Apenas alguns fornecedores de segurança tomaram ações proativas contra as técnicas do RIPlace

É evidente que, nas mãos erradas, o RIPlace poderia potencialmente tornar o ransomware imparável. Nyotron divulgou o problema aos fornecedores de segurança, mas nem todos viram o RIPlace como uma ameaça, argumentando que ele ainda não foi usado por ciberataques. Mesmo assim, o mais inteligente seria resolver o problema, em vez de esperar o pior acontecer . Até o momento, apenas alguns fornecedores abordaram o problema em seus produtos.

A Microsoft afirmou que a técnica RIPlace não é considerada uma vulnerabilidade, pois não atende aos Critérios de Serviço de Segurança. Mesmo com o recurso de proteção de ransomware CFA (Acesso controlado a pastas) ativado, o desvio do RIPlace ainda pode ser executado, conforme demonstrado no vídeo de Nyotron:

Foi estabelecido que todas as versões do Microsoft Windows (do Windows XP ao Windows 10 mais recente) estão expostas a essa vulnerabilidade, mesmo que tenham os melhores e mais recentes produtos de segurança AV, NGAV e EDR instalados.

A equipe da Nyotron também lançou uma ferramenta gratuita para pessoas que desejam testar seus sistemas e / ou produtos de segurança contra o RIPlace.

March 3, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.