Los proveedores de antivirus introducen soluciones para el método de ataque EFS ransomware


La compañía despidió a 300 empleados antes de Navidad debido al ataque de ransomware
La firma de telemarketing con sede en Arkansas le dice al personal que busque un nuevo empleo después de suspender todas las operaciones justo antes de las vacaciones.

Los investigadores han revelado cómo un ataque EFS lanzado por ransomware deja a los sistemas que dependen de soluciones antivirus basadas en firmas abiertas para el ataque, con los principales proveedores presionando soluciones a la izquierda, a la derecha y al centro como resultado.

El martes, Amit Klein, vicepresidenta de investigación de seguridad de Safebreach Labs reveló una investigación sobre cómo el ransomware puede abusar del Sistema de archivos de cifrado de Windows (EFS), una forma de malware que cifra los sistemas y exige el pago a cambio de la restauración del acceso.

Una exploración de EFS basada en laboratorio, desarrollada por Microsoft como una alternativa NTFS al cifrado de disco completo proporcionado por BitLocker para cifrar archivos o directorios individuales, descubrió que las principales soluciones antivirus podrían no proteger el sistema.

En una entrada de blog, Safebreach Labs dijo que después de probar tres importantes soluciones anti-ransomware ofrecidas por proveedores de ciberseguridad, las tres no pudieron detener los ataques.

TechRepublic: ¿Por qué los baby boomers buscan IoT y análisis para mantenerse a salvo?

Las soluciones de seguridad probadas fueron ESET Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861 (a) y Microsoft Windows 10 Controlled Folder Access en Windows 10 64-bit versión 1809 (Build 17763) usando una máquina virtual con Windows 10 cargado con una variedad de diferentes contenidos y tipos de archivos.

Safebreach Labs probó si EFS podría ser explotado o no mediante la creación de su propia variante de ransomware empleando tácticas que incluyen la generación de claves y certificados. Para comenzar la cadena de ataque, el ransomware creó ambos y luego agregó el certificado al almacén de certificados personales, asignando la nueva clave para que actúe como la clave EFS actual, y la invocó en los archivos o carpetas destinados a su eliminación.

El siguiente paso consistió en guardar el archivo de clave en la memoria y eliminarlo de% APPDATA% Microsoft Crypto RSA (SID del usuario) y% ProgramData% Microsoft Crypto RSA MachineKeys . Los datos de EFS se eliminaron de la memoria, lo que aseguró que los "archivos cifrados se vuelvan ilegibles para el usuario (y el sistema operativo)", según el equipo.

Ver también: JhoneRAT explota servicios en la nube para atacar países del Medio Oriente

Si es posible, el malware eliminaría las partes flojas del disco, seguido del cifrado de los datos del archivo de clave utilizando una clave pública cableada en el ransomware. En este punto, también podría ser posible enviar información robada al centro de comando y control (C2) de un atacante.

Según los investigadores, las actividades de cifrado del ransomware basado en EFS tienen lugar en el kernel y, como el controlador NTFS está en juego, también pueden pasar desapercibidos para los controladores de filtro del sistema de archivos. No se requieren interacción humana o derechos de administración.

Sin embargo, los iconos de candado se muestran cuando los archivos están encriptados, lo que puede dar a las víctimas una indicación de que no todo está bien, y si el Agente de recuperación de datos está habilitado, la recuperación puede ser "trivial", dice el equipo.

Safebreach Labs desarrolló el código de prueba de concepto (PoC) y lo proporcionó, junto con un informe, a 17 proveedores de ciberseguridad. Como resultado, el equipo se dio cuenta de que había más productos afectados de lo que se pensaba originalmente.

A continuación se muestra el resumen de cada proveedor, su susceptibilidad y cualquier acción tomada:

  • Avast, Antivirus: "Implementamos una solución alternativa para la versión 19,8"Avast también proporcionó a los investigadores una recompensa de $ 1000.
  • Avira, Antivirus: "Hemos analizado exhaustivamente esta vulnerabilidad potencial. Si bien valoramos los informes de esta vulnerabilidad potencial, creemos que esta derivación potencial que depende de un escenario de uso personalizado no es un 'punto de falla' realista".
  • Bitdefender: "A partir de hoy (10 de enero), la solución comenzó a implementarse en Bitdefender Antivirus, Bitdefender Total Security y Bitdefender Internet Security en la versión 24.0.14.85. En Bitdefender Free Edition, la solución está en modo de informe solamente, siendo necesario para un ajuste fino en el futuro."
  • Control, SandBlast Agent: "Una solución para el problema estará disponible en la próxima versión mensual".
  • D7xTech, CryptoPrevent Anti Malware: Vendedor notificado el 5 de julio, estado desconocido.
  • ESET, Productos de tecnología Ransomware Shield: "En junio de 2019, ESET se enteró de una posible omisión de seguridad de sus productos de consumo, negocios y servidores para Windows a través del estándar de Windows EncryptFile API. ESET pudo validar el método subyacente utilizado para administrar esto ataque. Ahora estamos implementando una actualización para mitigar el desvío y quisiéramos pedir amablemente a todos los clientes que consulten al Asesor de clientes 2020-0002 para obtener más información sobre las opciones de mitigación con respecto al desvío publicado en este informe ".
  • F-Secure, Seguridad de Internet (con DeepGuard) | SEGURO: ya detectado como sospechoso: W32 / Malware! Online y Trojan.TR/Ransom.Gen.
  • GridinSoft, GS Anti-Ransomware (beta): "Tenemos una versión de prueba beta gratuita del programa lanzado en 2016. Desde entonces no se ha actualizado y la versión de lanzamiento principal del producto no se ha publicado. Desde que el programa fue la última vez actualizado en 2016, es más que lógico que proteja contra esas familias de ransomware que fueron populares hasta 2016 ".
  • IObit, Malware Fighter: ahora hay una solución disponible en la versión 7.2.
  • Kaspersky (todos): Todos los productos se actualizaron para proteger contra la técnica.
  • McAfee, Productos de punto final: "McAfee lanzó protección contra el código de muestra proporcionado por el reportero en los DAT Anti-Virus (AV) lanzados el 10 de enero. Esto cubre nuestros productos Enterprise y Consumer. Los DAT AV se actualizan automáticamente y los clientes pueden verificar el versión de los DAT a través de la interfaz de usuario del producto. Los clientes empresariales que usan MVision EDR tienen una regla de detección disponible a partir del 10 de enero que se activará cuando se ejecuten algunas variaciones de esta Prueba de concepto. A través de EDR, el administrador puede escanear sus máquinas para otras instancias del malware y luego bloquear la ejecución o eliminar el malware ".
  • Microsoft, Acceso controlado a la carpeta de Windows: "Microsoft considera que el Acceso controlado a la carpeta es una característica de defensa en profundidad. Evaluamos esta presentación como un problema de defensa en profundidad de clase moderada, que no cumple con los Criterios de servicio de seguridad de Microsoft para Windows. Microsoft puede considere abordar esto en un producto futuro ".
  • Panda Security, Panda Adaptive Defense | Panda Dome Advanced: "Nuestro enfoque de protección para la línea de productos Panda Adaptive Defense no se basa en patrones, sino en la clasificación de todos los archivos / procesos que se ejecutan en el punto final. Por lo tanto, cualquier ataque que utilice archivos / procesos desconocidos será detectado y bloqueado. "
  • Sophos, Punto final de Intercept-X | CryptoGuard: "El equipo ha comenzado a implementar este cambio".
  • Symantec, Protección de punto final: "Eliminamos dos firmas de detección para mitigar el problema. Ambas firmas se enviaron a todos los puntos finales a través de nuestra actualización en vivo".
  • TrendMicro, Apex One | RansomBuster: "Trend Micro está investigando y trabajando actualmente en la implementación de algunas mejoras en nuestros productos de protección de punto final con capacidades anti-ransomware para tratar de prevenir este tipo de ataques (ETA aún en desarrollo). Mientras tanto, recomendamos desactivar EFS si es así. no en uso (sic) ".
  • Webroot, SecureAnywhere AV: "Apreciamos que SafeBreach nos llame la atención sobre esta nueva técnica. Si bien aún no hemos visto esta técnica en la naturaleza, ahora podemos armar a nuestros investigadores de amenazas con información para combatirla en el futuro".

CNET: Revisión de NordVPN: sigue siendo el mejor valor para la seguridad y la velocidad

Una posible solución es que los administradores cambien las claves de registro para desactivar EFS, así como también usar la Política de grupo en la configuración de la empresa. Sin embargo, si EFS está en uso activo y legítimo, deshabilitar la configuración puede afectar las protecciones de archivos requeridas.

"Está claro que ante la evolución esperada del ransomware, es necesario desarrollar nuevas tecnologías anti-ransomware para contener y mantener a raya la amenaza del ransomware", dicen los investigadores. "Las soluciones basadas en firmas no están a la altura de este trabajo, las soluciones basadas en heurística (y aún más, basadas en tecnología genérica) parecen más prometedoras, pero se requiere investigación proactiva adicional para" entrenarlas "contra futuras amenazas".

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original