پژوهشگران امنیتی Nyotron هشدار میدهند که روشی که بهتازگی کشف شده است، به باجافزار اجازه میدهد تا فایلها را در سیستمهای مبتنیبر ویندوز، بدون اینکه توسط محصولات ضد باجافزار شناسایی شود، رمزنگاری کند.
این روش که RIPlace نامیده میشود، به بدافزار اجازه میدهد تا با استفاده از عملیات rename سیستم فایل برنامههای حفاظتی را دور بزند و پژوهشگران امنیتی بیان می کنند که این روش حتی در مورد سیستمهایی که به موقع وصله میشوند و برنامههای ضدبدافزار پیشرفته اجرا میکنند، نیز مؤثر است. میتوان از RIPlace برای تغییر فایلها در رایانههایی که ویندوز ایکسپی یا نسخههای جدیدتر سیستم عامل مایکروسافت را اجرا میکنند، استفاده کرد.
پژوهشگران در گزارشی مفصل بیان کردند که بیشتر باجافزارها از طریق باز کردن یا خواندن فایل اصلی، رمزنگاری محتوا در حافظه و سپس از بین بردن فایل اصلی از طریق نوشتن محتوای رمزنگاریشده در آن یا ذخیره کردن فایل رمزنگاریشده و سپس پاک کردن فایل اصلی و یا از طریق ذخیرهی فایل رمزنگاریشده و استفاده از Rename برای جایگزین کردن آن عمل میکنند.
هنگامی که درخواست Rename فراخوانی میشود، درایور فیلتر فراخوانی نیز فراخوانی میشود. آنچه که پژوهشگران کشف کردند این بود که درصورتیکه DefineDosDevice قبل از Rename فراخوانی شود، میتوان یک نام دلخواه بهعنوان نام دستگاه بههمراه مسیر فایل اصلی بهعنوان هدف مورد اشاره ارسال کرد.
آنها تشریح میکنند که مسأله این است که درایور فیلتر تابع فراخوانی در زمان استفاده از روال FltGetDestinationFileNameInformation نمیتواند مسیر مقصد را parse کند. اگرچه هنگام ارسال مسیر DosDevice خطا رخ میدهد، اما فراخوانی Rename موفقیتآمیز میشود.
پژوهشگران بیان میکنند که بااستفاده از این روش، امکان رمزنگاری فایلها بهصورت مخرب و دور زدن محصولات ضد بدافزار و ضد باجافزاری که فراخوانی تابع IRP_MJ_SET_INFORMATION را بهدرستی مدیریت نمیکنند، وجود دارد. آنها معتقدند که عاملان مخرب ممکن است از این روش بهمنظور دور زدن محصولات امنیتی وابسته به روال FltGetDestinationFileNameInformation سوءاستفاده کنند و از ثبت چنین فعالیتی توسط محصولات EDR جلوگیری کنند.
پژوهشگران این روش را در بهار سال ۲۰۱۹ میلادی کشف کردند و به مایکروسافت، شرکتهای امنیتی و مقامات اجرای قانون و نهادهای نظارتی گزارش دادند. متأسفانه تنها تعداد محدودی از شرکتهای امنیتی این مسأله را رفع کردند و دهها شرکت تحت تأثیر قرارگرفتند.
Nyotron دو ویدئو منتشر کرد که نشان میدهد چگونه RIPlace میتواند Symantec Endpoint Protection و Microsoft Defender Antivirus را دور بزند و همچنین یک ابزار رایگان منتشر کرد که به کاربران اجازه میدهد تا سیستم و محصولات امنیتی خود را در برابر روش دور زدن RIPlace آزمایش کنند.
