Los investigadores de seguridad de Nyotron han ideado una nueva técnica que permite al ransomware cifrar archivos en sistemas basados en Windows sin ser detectados por los productos anti-ransomware existentes. Apodado RIPlace, el nuevo método utiliza una falla de diseño del sistema operativo Windows en lugar de una falla en una pieza específica de software y requiere solo unas pocas líneas de código para evitar las características de protección contra ransomware integradas en muchos productos de seguridad y Windows 10.
Según Nyotron, la técnica RIPlace se puede utilizar para alterar archivos en cualquier computadora con Windows XP o versiones más recientes del sistema operativo de Microsoft. Para cifrar los archivos de una víctima y reemplazarlos con datos cifrados, la mayoría del ransomware abrirá y leerá el archivo original, cifrará el contenido en la memoria y luego destruirá el archivo original escribiendo contenido cifrado en él / guardando el archivo cifrado y luego borrando el original / o guardando el archivo encriptado y luego usando Rename para reemplazarlo.
Cada vez que se llama a una solicitud de cambio de nombre (específicamente, IRP_MJ_SET_INFORMATION con FileInformationClass establecido en FileRenameInformation), el controlador de filtro recibe una devolución de llamada, para que pueda filtrar la solicitud. Los investigadores descubrieron que si se llama a DefineDosDevice (una función heredada que crea un enlace simbólico) antes de Rename, es posible pasar un nombre arbitrario como el nombre del dispositivo y la ruta del archivo original, como el objetivo para señalar.
Según Nyotron, el problema se debe al hecho de que el controlador de filtro de la función de devolución de llamada "no puede analizar la ruta de destino cuando se utiliza la rutina común FltGetDestinationFileNameInformation". ) ", La llamada Rename se realiza correctamente. Por lo tanto, esta técnica se puede utilizar para cifrar archivos de forma maliciosa y omitir los productos antivirus / antiransomware que no manejan adecuadamente la devolución de llamada IRP_MJ_SET_INFORMATION.
“De hecho, todos los productos antivirus probados hasta ahora eran completamente ciegos a las operaciones de archivos usando esta técnica, incluido el cifrado. Además, incluso los productos de detección y respuesta de punto final (EDR) son ciegos a esta técnica y, por lo tanto, estas operaciones no serán visibles para la respuesta a incidentes futuros y para fines de investigación ”, advirtieron los investigadores de seguridad.
https://www.nyotron.com/collateral/RIPlace-report_compressed-3.pdf
