RIPlace:一种简单的规避技术,可以绕过AV和勒索软件保护

勒索软件在全球范围内已被证明是令人讨厌的事,有些攻击要花费数百万美元。想象一下,如果发生协调的网络攻击,将会发生什么。剑桥大学的研究人员估计,如果这样的协同攻击要袭击全球600,000家企业,这将使全球经济损失高达1,840亿美元。研究人员认为,在模拟情况下,攻击是通过恶意电子邮件发起的,恶意电子邮件一旦被激活,便可以在24小时内加密近3000万台设备上的数据。听起来吓人吧?

知道这一点,如果勒索软件有一种方法可以完全绕过AV(反病毒)软件和额外的勒索软件功能等计算机上的所有安全措施,您会感觉如何?不好,我们打赌。可悲的是,这种情况可能成为现实。 Nyotron的安全研究人员发现了一种名为RIPlace的新规避技术 ,该技术有可能通过使安全软件看不见勒索软件来改变其运行方式

关于RIPlace

在2019年春季,Nyotron的研究团队遵循了负责任的披露流程,并分享了他们发现了一种逃避技术,该技术可以帮助恶意软件绕过大多数AV,反勒索软件以及端点检测与响应(EDR)产品。由于它具有通过替换受害者计算机上的敏感文件来逃避检测的能力,研究人员将其命名为“ RIPlace”-替换功能和RIP(Rest in Peace)的组合,因为替换后的原始文件已不存在。

是什么使RIPlace如此危险

  • 逃避技术可以在运行Windows XP或更高版本的计算机上使用。
  • 仅需几行代码即可绕过受害者计算机上安装的勒索软件保护功能。
  • RIPlace甚至可以在及时打补丁并运行最新AV产品的系统上运行。
  • 借助RIPlace,可以避免内置的勒索软件保护功能和其他安全产品。

RIPlace如何设法绕过勒索软件保护

riplace勒索软件差异过程
图1:勒索软件的工作方式以及RIPlace发挥作用的方式。资料来源:Nyotron

如图1所示,已知大多数勒索软件在成功激活后会执行以下操作:

  1. 打开/读取原始文件。
  2. 加密内容。
  3. 将加密的文件保存在磁盘上。
  4. 用原始文件替换加密文件。

借助新的规避技术,RIPlace重命名和替换文件的第四步有所不同。调用重命名请求时(IRP_MJ_SET_INFORMATION,且FileInformationClass设置为FileRenameInformation),筛选器驱动程序将获取回调以筛选请求。 Nyotron的研究团队发现,如果在Rename之前调用DefineDosDevice(创建符号链接的旧函数),则可以将任意名称作为设备名称,并将原始文件路径作为指向的目标。

使用RIPlace,“使用通用例程FltGetDestinationFileNameInformation时,回调函数筛选器驱动程序无法解析目标路径。”即使在传递DosDevice路径时返回错误,重命名调用也会成功。

话虽如此,如果您的AV /勒索软件防护产品无法正确处理IRP_MJ_SET_INFORMATION回调,则网络攻击者可能会使用RIPlace技术绕过它们。 Nyontron研究人员指出,攻击者可以滥用此漏洞,以避免EDR产品记录其活动,并绕过依赖于FltGetDestinationFileNameInformation例程的安全产品。

没有关于RIPlace被野外使用的报道

“我们还没有见过在野外使用RIPlace规避技术。但是,我们认为这只是时间问题。网络犯罪分子通常会在几天甚至数小时内利用所披露的漏洞。不幸的是,该技术使用起来很简单,实际上需要两个行代码。” Nir Gaist(Nyotron首席技术官/联合创始人)在接受Digital Journal采访时说。

网络钓鱼和勒索软件攻击在过去几年中非常成功,因此毫无疑问,到2020年,它们将继续蓬勃发展,尤其是在本地,州和医疗机构中。如果攻击者使用RIPlace技术,那么后果将是灾难性的。

只有少数安全厂商针对RIPlace技术采取了主动行动

显然,如果使用不当,RIPlace可能会使勒索软件势不可挡。 Nyotron向安全厂商披露了此问题,但并非所有人都将RIPlace视为威胁,认为RIPlace尚未被网络攻击者使用。即便如此,最明智的做法是解决问题,而不是等待最坏的情况发生 。到目前为止,只有少数供应商在其产品中解决了该问题。

微软表示,RIPlace技术不符合其安全性服务标准,因此不被视为漏洞。即使启用了CFA(受控文件夹访问)勒索软件保护功能,RIPlace旁路仍然可以执行,如Nyotron的视频所示:

已经确定,即使安装了最新,最好的AV,NGAV和EDR安全产品,Microsoft Windows的所有版本(从Windows XP到最新的Windows 10)都存在此漏洞。

Nyotron团队还为想要根据RIPlace测试其系统和/或安全产品的人们发布了免费工具。

March 3, 2020
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。