Антивирусы получают обновления для борьбы с новым методом атаки шифровальщиков на EFS

2020-01-21 4198 комментарии
Исследователи из Safebreach Labs установили, как атака шифровальщиков на EFS позволяет обходить сигнатурную антивирусную защиту. Большинство вендоров уже подготовили патчи для своих антивирусов

Простого сигнатурного обнаружения может быть недостаточно, чтобы защитить систему шифрования EFS от современных семейств троянов-вымогателей.

Во вторник Амит Кляйн (Amit Klein) из Safebreach Labs поделился результатами исследования о том, как система шифрования данных (Encrypting File System, EFS) может злонамеренно использоваться программами-вымогателями.

Во время лабораторного анализа системы шифрования, разработанной Microsoft как альтернатива полному шифрованию NTFS разделов с помощью BitLocker, оказалось, что основные антивирусные решения не могут надежно защитить систему.

В блоге Safebreach Labs сообщается, что ни один из трех основных протестированных продуктов не смог остановить атаки троянами-шифровальщиками.

В испытании, которое проводилось в виртуальных машинах с участием файлов различных типов, принимали участие ESET Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861(a) и функция Контролируемый доступ к папкам в Windows 10 64-bit версия 1809 (сборка 17763).

Лаборатория Safebreach Labs проверяла, может ли EFS злонамеренно использоваться для создания собственного варианта шифровальщика, использующего тактику с генерацией ключей и сертификатов. Чтобы запустить цепочку атаки, вымогатель создавал пару ключ-сертификат, а затем добавлял сертификат в хранилище персональных сертификатов, назначив новый ключ в качестве текущего ключа EFS и вызывал его для папок и файлов, предназначенных для удаления.

На следующем этапе в память сохранялся файл ключа, после чего он удалялся из расположений: %APPDATA% \Microsoft\Crypto\RSA\[user SID]\ и %ProgramData%\Microsoft\Crypto\RSA\MachineKeys\. Потом данные EFS стирались из памяти, чтобы «зашифрованные файлы становились нечитаемыми для пользователей и операционной системы».

Затем, если это было возможно, вредоносная программа стирала зарезервированные части диска и зашифровывала данные файлы цифрового ключа с помощью аппаратно-реализованного открытого ключа в шифровальщике. На данном этапе уже возможна отправка украденной информации на подконтрольный злоумышленнику сервер (command-and-control center, C2).

По словам исследователей, шифрование на основе EFS выполняется непосредственно в ядре. Поскольку драйвер NTFS находится в действии, он также может остаться незамеченным драйверами фильтра файловой системы. Никаких взаимодействий с пользователем и административным прав при этом не требуется.

Тем не менее, при шифровании файлов отображаются значки замка. Это может дать жертвам указание на то, что что-то не так. Если агент восстановления данных (Data Recovery Agent) включен, то восстановление может быть «тривиальной» задачей.

Специалисты Safebreach Labs разработали код подтверждения концепции и предоставили его вместе с отчетом компаниям-разработчикам программ безопасности. Проблема безопасности затронула гораздо больше продуктов, чем считалось первоначально.

Ниже представлена информация по каждому отдельному вендору, включая затронутые продукты и предпринятые действия.

  • Avast, Avast Premium Security, Avast Free Antivirus: «Мы реализовали обходное решение для версии 19.8». Компания Avast выплатила исследователям 1000 долларов в рамках программы поощрения поиска уязвимостей.
  • Avira, Avira Antivirus Pro: «Мы детально рассмотрели данную потенциальную уязвимость. Мы ценим сообщения о данной уязвимости, но убеждены, что данный обходной путь зависит от сценария индивидуального использования и не является реалистичной «точкой отказа».
  • Bitdefender: «10 января исправление стало поставляться для Bitdefender Antivirus, Bitdefender Total Security и Bitdefender Internet Security версий 24.0.14.85. В Bitdefender Antivirus Free Edition исправление используется в отчетном режиме и в будущем могут потребоваться дополнительные изменения».
  • Checkpoint, SandBlast Agent: «Исправление будет доступно в следующем ежемесячном обновлении».
  • D7xTech, CryptoPrevent Anti Malware: вендор получил уведомление 5 июля, статус неизвестен.
  • ESET, продукты, использующие технологию защиты от вымогателей (Ransomware Shield): «В июне 2019 года ESET получила уведомления о потенциальном обходе защиты потребительских, коммерческих и серверных продуктов с помощью стандартного Windows API EncryptFile. ESET удалось перепроверить основной метод, используемый для управления этой атакой. В настоящее время мы выпускаем обновление для смягчения обхода и хотели бы попросить всех клиентов обратиться к Customer Advisory 2020-0002 для получения дополнительной информации о вариантах снижения рисков».
  • F-Secure, F-Secure Internet Security (с DeepGuard), F-Secure SAFE: атака обнаруживается как W32/Malware!Online и Trojan.TR/Ransom.Gen.
  • GridinSoft, GridinSoft Anti-Ransomware [beta]: «Бесплатная бета-версия программы была выпущена в 2016 году. С того времени она не обновлялась, и основная стабильная версия не была выпущена. Учитывая тот факт, что программа не получала обновления с 2016 года, логично предположить, что она защищает только тех семейств шифровальщиков, которые были обнаружены до 2016 года».
  • IObit, IObit Malware Fighter: исправление доступно в версии 7.2.
  • «Лаборатория Касперского» (все продукты): все продукты были обновлены для защиты от этой техники.
  • McAfee, продукты Endpoint: «McAfee выпустил защиту от образца кода, предоставленного в отчете в обновлениях баз (AV DAT) от 10 января. Это касается как корпоративных, так и потребительских продуктов. AV DAT автоматически обновляются, и клиенты могут проверить версию DAT через пользовательский интерфейс продукта. Корпоративные клиенты, использующие MVision EDR, получили правило обнаружения, доступное с 10 января, которое сработает при выполнении некоторых изменений из доказательства концепции. С помощью EDR администратор может сканировать свои машины на предмет наличия других вредоносных программ, а затем блокировать их выполнение или удалять вредоносные программы».
  • Microsoft, Контролируемый доступ к папкам: «Microsoft считает контролируемый доступ к папкам функцией расширенной защиты. Мы оценили данную концепцию как проблему защиты средней степени, которая не соответствует критериям обслуживания программы Безопасность Windows. Microsoft может рассмотреть решение этой проблемы в будущем продукте».
  • Panda Security, Panda Adaptive Defense, Panda Dome Advanced: «Защита в линейке продуктов Panda Adaptive Defense строится не на паттернах, а на классификации всех файлов / процессов, выполняющихся в конечной точке. Таким образом, любая атака с использованием неизвестных файлов и процессов будет обнаружена и заблокирована».
  • Sophos, Intercept-X Endpoint, CryptoGuard: «Команда приступила к развертыванию данного изменения».
  • Symantec, Symantec Endpoint Protection: «Мы выпустили два сигнатурных определения для устранения данной проблемы безопасности. Сигнатуры поставлялись на конечные точки с помощью службы Live Update».
  • TrendMicro, Trend Micro Apex One, Trend Micro Ransom Buster: «В настоящее время Trend Micro работает над внедрением некоторых усовершенствований наших продуктов для защиты конечных точек с возможностями защиты от программ-вымогателей, чтобы попытаться предотвратить атаки такого типа. Тем временем мы рекомендуем отключить систему EFS, если она не используется».
  • Webroot, Webroot SecureAnywhere AntiVirus: «Мы ценим вклад SafeBreach в раскрытии данной проблемы. Мы не зафиксировали реальных случаев использования данной техники, то теперь можем вооружить наших исследователей необходимой информации для борьбы с угрозой в будущем».

Системные администраторы могут воспользоваться обходным решением и отключить использование EFS с помощью системного реестра или редактора групповых политик. Если EFS активно используется, то ее отключение может повлиять на защиту соответствующих файлов.

Исследователи отмечают:

Бурное развитие программ-вымогателей создает необходимость разработать новые технологии борьбы подобными угрозами. Решения на основе сигнатур не подходят для этой задачи, решения на основе эвристического обнаружения (и даже в большей степени - на основе общих технологий) кажутся более многообещающими, но для их «обучения» требуются дополнительные проактивные исследования.

© . По материалам ZDNet

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?