تکنیک باج افزار جدید از به‌روزترین حفاظت‌های امنیتی و ویندوز ۱۰ عبور می‌کند

دسته بندی ها : اخبار ۱۲ آذر ۱۳۹۸ آپا دانشگاه تبریز 598 بازدید
  • این روش با نام RIPlace، فقط به چند خط کد نیاز داشت تا از فیچرهای محافظت از باج افزار داخلی عبور کند.

·         حتی در برابر سیستم‌هایی که به موقع وصله می‌شوند و راه حل‌های جدید آنتی ویروسی را اجرا می‌کنند، مؤثر است.

 

محققان یک شرکت در زمینه امنیت end-point اخیراً به یک تکنیک جدید پرداختند که به یک باج افزار اجازه رمزگذاری فایل‌ها در سیستم‌های ویندوز را بدون جلب توجه محصولات ضد-باج‌افزار موجود می‌دهد.

پشت پرده

پس از کشف تکنیک، محققان این شرکت با مایکروسافت، فروشندگان امنیتی، مراجع قانونی و مقامات نظارتی و سایرین در تماس بودند.

 

  • nyotron به BleepingComputer گفته‌است که آن‌ها RIPlace را در برابر بیش از دوجین فروشندگان از جمله مایکروسافت، Symantec ، Sophos ، McAfee ، Carbon Black ، Kaspersky ، Trend Micro ، Cylance ، SentinelOne ، Crowdstrike ، PANW Traps و Malwarebytes آزمایش کرده‌اند.

·         علی رغم این که ده‌ها نفر تحت تأثیر قرار گرفته‌اند، تنها تعداد معدودی از فروشندگان امنیتی این مسئله را تأیید نموده‌اند.·         از میان نام‌های فوق‌الذکر فقط Kaspersky  و Carbon Black نرم افزار خود را اصلاح کردند تا از این تکنیک جلوگیری کنند.

 

درباره تکنیک جدید — RIPlace

تکنیک جدید دور زدن باج‌افزار، RIPlace، توسط تیم Nyotron در بهار سال ۲۰۱۹ شناخته شد. از آنجا که این روش در دیگر حملات مهم مورد استفاده قرار نمی‌گرفت، توسط فروشندگان امنیتی و مایکروسافت به عنوان non-issue در نظر گرفته می‌شد.

  • این روش فقط به چند خط کد نیاز دارد تا از فیچر‌های محافظت در برابر باج‌افزار در محصولات امنیتی و ویندوز ۱۰ عبور کند.
  • این بدافزار تدبیرات امنیتی را با استفاده از عملیات فایل سیستم موروثی “rename” دور می‌زند.
  • محققان امنیتی اظهار داشتند این تکنیک در برابر سیستم‌هایی که به موقع وصله شده‌اند و راه حل‌های جدید ضد ویروس را اجرا می‌کنند نیز مؤثر است.
  • این روش می‌تواند برای تغییر فایل‌ها در رایانه‌هایی که از Windows XP یا نسخه‌های جدیدتر سیستم عامل Microsoft استفاده می‌کنند، به کار برده شود.

 

نحوه عملکرد آن چگونه است؟اکثر باج افزارها با باز کردن و خواندن فایل اصلی، سپس رمزگذاری محتوا در حافظه و بعد از بین بردن فایل اصلی با نوشتن محتوای رمزگذاری شده بر روی آن و یا ذخیره فایل رمزگذاری شده با تغییر نام و جایگزین کردن پرونده اصلی، کار می‌کنند.کاراصلی، در آخرین گزینه است که باج افزار فایل‌ها را تغییر نام داده و جایگزین می‌کند. محققان دریافته‌اند که انجام این عمل به روشی خاص باعث دور زدن محافظت می‌شود.

اکنون، وقتی درخواست rename فراخوانی می‌شود (IRP_MJ_SET_INFORMATION با استفاده از FileInformationClass که روی FileRenameInformation تنظیم شده است)، درایور فیلتر یک پاسخ به فراخوانی دریافت می‌کند. مشخص شد که اگر DefineDosDevice (تابع موروثی که باعث ایجاد symlink می‌شود) قبل از Rename فراخوانده شود، می‌توان یک اسم دلخواه را به عنوان نام دستگاه به همراه مسیر فایل اصلی به عنوان هدف، وارد کرد.

محققان توضیح دادند که: « درایور مربوط به فیلتر تابع پاسخ نمی‌تواند مسیر مقصد را هنگام استفاده از روال معمول FltGetDestinationFileNameInformation” تجزیه (parse) کند. » فراخوانی Rename موفقیت‌آمیز است گرچه خطایی هنگام عبور از مسیر DosDevice برمی گردد.

محققان خاطر نشان کردند: «با استفاده از این تکنیک، امکان رمزگذاری پرونده‌های مخرب و دور زدن محصولات آنتی ویروس / ضد باج‌افزار که به طور صحیح پاسخ IRP_MJ_SET_INFORMATION را کنترل نمی‌کنند، ممکن است. ما معتقدیم که عوامل تهدیدگر می‌توانند از این تکنیک سوءاستفاده کنند تا محصولات امنیتی را که از روال FltGetDestinationFileNameInformation استفاده می‌کنند، دور بزنند و همچنین از ثبت چنین فعالیت‌هایی توسط محصولات EDR اجتناب ورزند.

در همین حال، Nyotron دو فیلم منتشر کرده است که نشان می‌دهد چگونه RIPlace می‌تواند Symantec Endpoint Protection(SEP) و آنتی ویروس مدافع مایکروسافت (Defender AV) را دور بزند. این نرم افزار ابزار رایگان را برای همه کسانی که می‌خواهند سیستم و محصولات امنیتی خود را در برابر RIPlace تست کنند، منتشر کرده است.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :