La nueva táctica de ransomware muestra cómo Windows EFS puede ayudar …



Los investigadores han descubierto cómo el ransomware puede aprovechar el Sistema de cifrado de archivos de Home windows, lo que lleva a los proveedores de seguridad a lanzar parches.

Los investigadores de seguridad publicaron hoy los detalles de cómo un ataque de ransomware podría abusar del Sistema de cifrado de archivos de Windows (EFS). Varios proveedores de seguridad importantes han lanzado parches para proteger las máquinas de este ataque después de que las herramientas antimalware no pudieron defenderse de la técnica.

El descubrimiento proviene de SafeBreach Labs, donde los investigadores estaban haciendo una lluvia de concepts sobre formas nuevas y más sofisticadas de implementar ransomware. «Es importante que comprendamos lo que se puede hacer para poder desarrollar mejores controles a su alrededor», dice el cofundador y director de tecnología Itzik Kotler. Uno de sus objetivos period encontrar vectores de ataque contra los que las defensas de hoy carecen de capacidades para defenderse.

A partir de Windows 2000, Microsoft comenzó a ofrecer EFS a clientes empresariales que utilizan las ediciones Home windows Pro, Experienced, Organization, Final, Business y Training. EFS permite el cifrado de carpetas y archivos específicos con clave para el usuario de Home windows. El cifrado y el descifrado se realizan en el controlador NTFS, bajo los controladores de filtro del sistema de archivos. Parte de la clave de cifrado se almacena en un archivo al que puede acceder el usuario parte se calcula a partir de la contraseña de la cuenta. EFS no debe confundirse con BitLocker, que es una función de cifrado de disco completo.

Los investigadores crearon su concepto de ransomware en un entorno de laboratorio para probar si el computer software antivirus podría defenderse contra él. Debido a que este malware utiliza la funcionalidad EFS, a diferencia de la táctica típica de ransomware de sobrescribir el archivo, utiliza un conjunto diferente de llamadas al sistema.

«Pensamos que había un buen potencial para evadir por completo los controles de seguridad», dice Amit Klein, vicepresidente de investigación de seguridad. «De hecho, ese resultó ser el caso».

El malware que desarrollaron primero genera una clave para ser utilizada por EFS, así como un certificado para esa clave, que se agrega al almacén de certificados personales. Luego establece la clave EFS precise para el certificado que creó el malware ahora, esta clave se puede invocar en archivos y carpetas específicos para encriptarlos. El ransomware guarda los archivos clave en la memoria y los elimina de dos carpetas:

  • % APPDATA% Microsoft Crypto RSA Sid (dónde Sid es el SID del usuario)
  • % ProgramData% Microsoft Crypto RSA MachineKeys

A partir de ahí, el ransomware borra los datos EFS de la memoria, haciendo que los archivos encriptados sean inaccesibles para la víctima. Idealmente, explican los investigadores, también borra las partes flojas del disco para garantizar que los datos de los archivos de clave EFS y los archivos temporales utilizados por EncryptFile no puedan recuperarse. El malware ahora puede encriptar los datos que robó de los dos archivos mencionados anteriormente usando una clave pública conectada al ransomware y enviar datos encriptados al atacante. Los archivos están encriptados en un nivel profundo del núcleo y los controladores de filtro del sistema de archivos no los notarán. El ataque no requiere derechos de administrador o interacción humana, Klein escribe en una publicación de website.

Klein explica que cada ransomware debería tener una forma de restaurar los archivos, y este no es diferente. Un atacante necesitaría descifrar los archivos de clave utilizando su clave privada para restaurarlos a su estado initial. Cuando esto sucede, Home windows podrá leer los archivos del usuario.

Los investigadores probaron el ransomware EFS en Windows 10, versiones de 64 bits 1803, 1809 y 1903. También debería funcionar en sistemas operativos Home windows de 32 bits y en versiones anteriores de Home windows, probablemente Home windows 8.x, Windows 7 y Windows Vista.

Dentro del proceso de parcheo
El equipo probó su malware con tres herramientas anti-ransomware de proveedores conocidos: ESET (World-wide-web Safety 12.1.34.), Kaspersky (Anti Ransomware Instrument for Company 4…861a) y Microsoft (Windows 10 Controlled Folder Access en Home windows 10 649 bits versión 1809, compilación 17763). Los tres no pudieron defenderse contra este tipo de ataque de ransomware.

SafeBreach luego notificó a 17 proveedores principales de anti-malware y anti-ransomware para los puntos finales de Home windows, proporcionó su prueba de concepto y descubrió que muchos productos estaban afectados.

«Todo el negocio de revelar esta amenaza a los principales proveedores de soluciones consiste en reducir la amenaza de que esto se use en la naturaleza en algún momento posterior», dice Klein. SafeBreach reveló el ataque a las empresas en junio y julio de 2019, señala. Pasaron más de seis meses entre el momento de la divulgación al último proveedor y la divulgación pública de SafeBreach hoy.

«Algunos proveedores tardaron muy poco en descubrir cuál es el problema y cómo quieren abordarlo», señala. «Otros proveedores se tomaron bastante tiempo para comenzar a trabajar en abordar el problema». La mayoría de los proveedores afectados implementaron actualizaciones para defenderse de esta técnica de ataque.

Una posible solución para este ataque es desactivar el ESF por completo, lo cual es posible con derechos de administrador. Klein aconseja tomar esta ruta si su organización no utiliza activamente la función.

A medida que evoluciona el ransomware, los proveedores de seguridad también deben adaptarse para defenderse de amenazas nuevas y cambiantes. Las herramientas basadas en firmas «no están a la altura de este trabajo», escribe Klein en su publicación, y aunque las soluciones basadas en heurística son prometedoras, se requiere investigación adicional para capacitarlas para protegerse contra futuras amenazas.

Contenido relacionado:

Kelly Sheridan es la Editora de individual de Dark Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance plan & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Más thoughts





Enlace a la noticia original