Что нового

News Эксплойт RIPlace - способен обойти AV и EDR

Vander 0

Vander

Команда форума
10.11.2019
483
1 109
shutterstock_468406259.jpg

  • Техника, получившая название RIPlace, требовала всего несколько строк кода, чтобы обойти встроенные в ОС функции защиты от вымогателей.
  • Это даже эффективно против систем, которые своевременно обновлены и используют современные антивирусные решения.
Исследователи компании, занимающейся разработкой решений для конечных точек, недавно наткнулись на новую методику, которая позволяет программам-вымогателям шифровать файлы в системах Windows, не привлекая внимания существующих продуктов для защиты от шифровальщиков.

Предыстория

После изучения этой методики исследователи из фирмы связались с Microsoft, поставщиками средств безопасности, правоохранительными и другими регулирующими органами.

1574932422223.png

  • Nyotron сообщил BleepingComputer, что они протестировали RIPlace с более чем десятком поставщиков, включая Microsoft, Symantec, Sophos, McAfee, Carbon Black, Kaspersky, Trend Micro, Cylance, SentinelOne, Crowdstrike, PANW Traps и Malwarebytes.
  • Лишь немногие поставщики систем безопасности признали эту проблему.
  • Только Kaspersky и Carbon Black модифицировали свое программное обеспечение, чтобы исключить возможность использования этой техники в своих продуктах.
О новой технике – RIPlace

1574932541317.png

Эта технология обхода антивирусных решений для активации вируса – шифровальщика на вашей системе, RIPlace, была обнаружена командой Nyotron весной 2019 года. Поскольку эта техника не использовалась в крупных атаках, поставщики средств безопасности и Microsoft не рассматривали её как потенциальную глобальную угрозу.

Техника требовала всего несколько строк кода, чтобы обойти меры защиты от вымогателей в продуктах безопасности и Windows 10.

Вредоносные программы обходят защиту, используя операцию «переименования» устаревшей файловой системы.

По мнению исследователей в области безопасности, он эффективен даже в отношении систем, которые своевременно обновляются и используют современные антивирусные решения.

Техника может быть использована для изменения файлов на любых компьютерах под управлением Windows XP или более новых версий ОС Microsoft.

Как это работает?

Большинство программ-вымогателей сначала открывают и читают исходный файл, затем шифруют содержимое в памяти, а после уничтожают исходный файл, записывая в него зашифрованный контент или сохраняя зашифрованный файл, переименовывая и заменяя исходный файл.

Подвох в последнем варианте, где шифровальщик переименовывает и заменяет файлы. Исследователи обнаружили, что выполнение этой операции особым образом, позволяет обойти защиту.

Теперь, когда вызывается запрос на переименование (IRP_MJ_SET_INFORMATION с FileInformationClass, установленным в FileRenameInformation), драйвер фильтра получает обратный вызов.

Было обнаружено, что если DefineDosDevice (унаследованная функция, которая создает символическую ссылку) вызывается перед Rename, можно передать произвольное имя в качестве имени устройства вместе с исходным путем к файлу в качестве цели для указания.

Исследователи объяснили, что «драйверу фильтра функции обратного вызова не удается проанализировать путь назначения при использовании общей подпрограммы FltGetDestinationFileNameInformation». Несмотря на то, что при передаче пути DosDevice возвращается ошибка, вызов Rename завершается успешно.

«Используя эту технику, можно шифровать файлы и обходить антивирусы и другое защитное ПО, которое неправильно обрабатывают обратный вызов IRP_MJ_SET_INFORMATION. Мы полагаем, что злоумышленники могут использовать эту технику, чтобы противодействовать АВ решениям, методы защиты в которых, основаны на процедуре FltGetDestinationFileNameInformation, а также избежать записи таких действий продуктами EDR », - отметили исследователи.

Что может помочь?

Nyotron опубликовал два видео, демонстрирующих, как RIPlace может обойти Symantec Endpoint Protection (SEP) и антивирус Microsoft Defender (Defender AV).

Компания выпустила бесплатный инструмент для всех, кто хочет протестировать свои системы и продукты безопасности на угрозу RIPlace.
 
Последнее редактирование:
Верх Низ