روش جدید به باج‌افزار اجازه می‌دهد تا به‌طور ناشناس فعالیت کند

پژوهش‌گران امنیتی Nyotron هشدار می‌دهند که روشی که به‌تازگی کشف شده است، به باج‌افزار اجازه می‌دهد تا فایل‌ها را در سیستم‌های مبتنی‌بر ویندوز، بدون این‌که توسط محصولات ضد باج‌افزار شناسایی شود، رمزنگاری کند.

این روش که RIPlace نامیده می‌شود، به بدافزار اجازه می‌دهد تا با استفاده از عملیات rename سیستم فایل برنامه‌های حفاظتی را دور بزند و پژوهش‌گران امنیتی بیان می کنند که این روش حتی در مورد سیستم‌هایی که به موقع وصله می‌شوند و برنامه‌های ضدبدافزار پیشرفته اجرا می‌کنند، نیز مؤثر است. می‌توان از RIPlace برای تغییر فایل‌ها در رایانه‌هایی که ویندوز ایکس‌پی یا نسخه‌های جدیدتر سیستم عامل مایکروسافت را اجرا می‌کنند، استفاده کرد.

پژوهش‌گران در گزارشی مفصل بیان کردند که بیشتر باج‌افزارها از طریق باز کردن یا خواندن فایل اصلی، رمزنگاری محتوا در حافظه و سپس از بین بردن فایل اصلی از طریق نوشتن محتوای رمزنگاری‌شده در آن یا ذخیره کردن فایل رمزنگاری‌شده و سپس پاک کردن فایل اصلی و یا از طریق ذخیره‌ی فایل رمزنگاری‌شده و استفاده از Rename برای جایگزین کردن آن عمل می‌کنند.

هنگامی که درخواست Rename فراخوانی می‌شود، درایور فیلتر فراخوانی نیز فراخوانی می‌شود. آن‌چه که پژوهش‌گران کشف کردند این بود که درصورتی‌که DefineDosDevice قبل از Rename فراخوانی ‌شود، می‌توان یک نام دلخواه به‌عنوان نام دستگاه به‌همراه مسیر فایل اصلی به‌عنوان هدف مورد اشاره ارسال کرد.

آن‌ها تشریح می‌کنند که مسأله این است که درایور فیلتر تابع فراخوانی در زمان استفاده از روال FltGetDestinationFileNameInformation نمی‌تواند مسیر مقصد را parse کند. اگرچه هنگام ارسال مسیر DosDevice خطا رخ می‌دهد، اما فراخوانی Rename موفقیت‌آمیز می‌شود.

پژوهش‌گران بیان می‌کنند که بااستفاده از این روش، امکان رمزنگاری فایل‌ها به‌صورت مخرب و دور زدن محصولات ضد بدافزار و ضد باج‌افزاری که فراخوانی تابع IRP_MJ_SET_INFORMATION را به‌درستی مدیریت نمی‌کنند، وجود دارد. آن‌ها معتقدند که عاملان مخرب ممکن است از این روش به‌منظور دور زدن محصولات امنیتی وابسته به روال FltGetDestinationFileNameInformation سوء‌استفاده کنند و از ثبت چنین فعالیتی توسط محصولات EDR جلوگیری کنند.

پژوهش‌گران این روش را در بهار سال ۲۰۱۹ میلادی کشف کردند و به مایکروسافت، شرکت‌های امنیتی و مقامات اجرای قانون و نهادهای نظارتی گزارش دادند. متأسفانه تنها تعداد محدودی از شرکت‌های امنیتی این مسأله را رفع کردند و ده‌ها شرکت تحت تأثیر قرارگرفتند.

Nyotron دو ویدئو منتشر کرد که نشان می‌دهد چگونه RIPlace می‌تواند Symantec Endpoint Protection و Microsoft Defender Antivirus را دور بزند و همچنین یک ابزار رایگان منتشر کرد که به کاربران اجازه می‌دهد تا سیستم و محصولات امنیتی خود را در برابر روش دور زدن RIPlace آزمایش کنند.

منبع

Related posts

Leave a Comment

یک × 4 =