首页 >> 网络安全 >>极客新闻 >> 新的勒索软件技术规避了最新的安全保护和Windows 10
详细内容

新的勒索软件技术规避了最新的安全保护和Windows 10

1.jpg

  • 这项技术被称为RIPlace,只需要几行代码就可以避免内置的勒索软件保护功能。

  • 它甚至对于及时修补并运行现代防病毒解决方案的系统也非常有效。

一家端点安全解决方案公司的研究人员最近偶然发现了一种新技术,该技术允许勒索软件在Windows系统上加密文件而不会引起现有反勒索软件产品的注意。


背景故事

发现这项技术后,该公司的研究人员与Microsoft,安全厂商,执法和监管机构等联系。

  • Nyotron告诉BleepingComputer,他们针对包括Microsoft,Symantec,Sophos,McAfee,炭黑,Kaspersky,趋势科技,Cylance,SentinelOne,Crowdstrike,PANW Traps和Malwarebytes在内的十几家供应商进行了RIPlace测试。

  • 尽管数十家安全厂商受到了影响,但只有少数安全厂商已经意识到了这一问题。

  • 只有卡巴斯基和Carbon Black修改了他们的软件,以防止上述名称提及此技术。


关于新技术RIPlace

Nyotron团队于2019年春季确定了新的勒索软件绕过技术RIPlace。由于该技术未在其他主要攻击中使用,因此安全供应商和Microsoft认为这不是问题。


该技术只需要几行代码就可以避开安全产品和Windows 10中的内置勒索软件保护功能。

恶意软件使用旧文件系统“重命名”操作绕过防御。

安全研究人员建议,即使对及时打补丁并运行现代防病毒解决方案的系统,它也有效。

该技术可用于在运行Windows XP或更高版本的Microsoft OS的任何计算机上更改文件。


它是如何工作的?

大多数勒索软件的运行方式是:首先打开并读取原始文件,然后对内存中的内容进行加密,然后通过向其中写入加密的内容来破坏原始文件,或者通过重命名和替换原始文件来保存加密的文件。


捕获是勒索软件重命名和替换文件的最后一个选项。研究人员发现,以特殊方式执行该操作可以绕开保护措施。


现在,当重命名请求被调用(IRP_MJ_SET_INFORMATION且FileInformationClass设置为FileRenameInformation)时,筛选器驱动程序将获得回调。已经发现,如果在重命名之前调用DefineDosDevice(创建符号链接的旧函数),则可以传递任意名称作为设备名称,以及原始文件路径作为指向的目标。


研究人员解释说:“使用通用例程FltGetDestinationFileNameInformation时,回调函数筛选器驱动程序无法解析目标路径。”尽管在传递DosDevice路径时返回了错误,但重命名调用成功。


“使用此技术,可以对文件进行恶意加密,并绕过不能正确处理IRP_MJ_SET_INFORMATION回调的防病毒/反勒索软件产品。我们认为,恶意行为者可能会滥用此技术,以绕过依赖于FltGetDestinationFileNameInformation例程的安全产品,并避免EDR产品记录此类活动。”


得到帮助

同时,Nyotron发布了两个视频,演示RIPlace如何绕过Symantec Endpoint Protection(SEP)和Microsoft Defender Antivirus(Defender AV)。它为想要根据RIPlace测试其系统和安全产品的每个人发布了一个免费工具。

技术支持: 建站ABC | 管理登录