La nueva técnica de ransomware evade la protección de seguridad más actualizada y Windows 10
Entrada publicada el 27 | 11 | 2019
  • La técnica, denominada RIPlace, requería solo unas pocas líneas de código para eludir las características incorporadas de protección contra ransomware.
  • Incluso es efectivo contra sistemas que son parcheados a tiempo y ejecutan soluciones antivirus modernas.

Los investigadores de una empresa de soluciones de seguridad de punto final recientemente se encontraron con una nueva técnica que permite que un ransomware cifre archivos en sistemas Windows sin llamar la atención de los productos anti-ransomware existentes.

La historia de fondo

Después de descubrir la técnica, los investigadores de la firma se pusieron en contacto con Microsoft, proveedores de seguridad, autoridades policiales y reguladoras, y otros.

  • Nyotron le dijo a BleepingComputer que probaron RIPlace contra más de una docena de proveedores, incluidos Microsoft, Symantec, Sophos, McAfee, Carbon Black, Kaspersky, Trend Micro, Cylance, SentinelOne, Crowdstrike, PANW Traps y Malwarebytes.
  • Solo un puñado de proveedores de seguridad han reconocido el problema, a pesar de que docenas se han visto afectadas.
  • Solo Kaspersky y Carbon Black modificaron su software para evitar esta técnica de los nombres mencionados anteriormente.

Sobre la nueva técnica: RIPlace

La nueva técnica de derivación de ransomware, RIPlace , fue identificada por el equipo de Nyotron en la primavera de 2019. Dado que la técnica no se estaba utilizando en otros ataques importantes, los proveedores de seguridad y Microsoft lo vieron como un problema.

  • La técnica requería solo unas pocas líneas de código para eludir las funciones de protección contra ransomware incorporadas en los productos de seguridad y Windows 10.
  • El malware omite las defensas utilizando la operación de “renombrar” del sistema de archivos heredado.
  • Los investigadores de seguridad sugirieron que es efectivo incluso contra sistemas que son parcheados a tiempo y ejecutan soluciones antivirus modernas.
  • La técnica se puede utilizar para alterar archivos en cualquier computadora con Windows XP o versiones más recientes del sistema operativo de Microsoft.

¿Como funciona?

La mayoría de los ransomware operan primero abriendo y leyendo el archivo original, luego encriptando el contenido en la memoria y luego destruyendo el archivo original escribiendo contenido encriptado o guardando el archivo encriptado al renombrar y reemplazar el original.

El truco está en la última opción donde el ransomware cambia el nombre y reemplaza los archivos. Los investigadores descubrieron que realizar esa operación de una manera especial permite eludir la protección.

Ahora, cuando se llama a una solicitud de cambio de nombre (IRP_MJ_SET_INFORMATION con FileInformationClass establecido en FileRenameInformation), el controlador de filtro recibe una devolución de llamada. Se descubrió que si se llama a DefineDosDevice (una función heredada que crea un enlace simbólico) antes de Rename, se podría pasar un nombre arbitrario como el nombre del dispositivo, junto con la ruta del archivo original como destino para señalar.

Los investigadores explicaron que “el controlador de filtro de la función de devolución de llamada no puede analizar la ruta de destino cuando se usa la rutina común FltGetDestinationFileNameInformation”. Aunque se devuelve un error al pasar una ruta de DosDevice, la llamada Rename se realiza correctamente.

“Utilizando esta técnica, es posible cifrar maliciosamente archivos y evitar los productos antivirus / anti-ransomware que no manejan adecuadamente la devolución de llamada IRP_MJ_SET_INFORMATION. Creemos que los actores maliciosos pueden abusar de esta técnica para eludir los productos de seguridad que dependen de la rutina FltGetDestinationFileNameInformation y evitar cualquier registro de dicha actividad por parte de los productos EDR “, anotaron los investigadores.

Consigue ayuda

Mientras tanto, Nyotron ha publicado dos videos que demuestran cómo RIPlace puede evitar Symantec Endpoint Protection (SEP) y Microsoft Defender Antivirus (Defender AV). Ha lanzado una herramienta gratuita para todos los que quieran probar su sistema y productos de seguridad contra RIPlace.

 

WordPress Appliance - Powered by TurnKey Linux