El equipo de investigación de Safebreach Labs ha demostrado cómo un ransomware puede explotar la herramienta de seguridad de Microsoft. Los investigadores crearon el concepto de ransomware que se aprovecha del Sistema de cifrado de archivos de Windows (EFS), una función en Windows que proporciona cifrado a nivel de sistema de archivos y protege los datos confidenciales de los atacantes con acceso físico a la computadora.
El código de prueba de concepto desarrollado por el equipo se basa en EFS para bloquear archivos en una computadora con Windows utilizando una clave suministrada por el atacante. El malware funciona de la siguiente manera:
1. El ransomware genera una clave (usando AdvApi32! CryptGenKey) para ser utilizada por EFS y registra el nombre de archivo utilizado por CAPI para esta clave.
2. El ransomware genera un certificado para esta clave, usando Crypt32! CertCreateSelfSignCertificate, y lo agrega al almacén de certificados personales ("MI") usando Crypt32! CertAddCertificateContextToStore.
3. El ransomware establece la clave EFS actual para este certificado utilizando AdvApi32! SetUserFileEncryptionKey.
4. Ahora el ransomware puede invocar AdvApi32! EncryptFile en cada archivo / carpeta a encriptar.
5. El ransomware guarda el archivo de clave (cuyo nombre se registró en el paso 1) en la memoria y lo elimina de las dos carpetas siguientes:
% APPDATA% \ Microsoft \ Crypto \ RSA \ sid \ (donde sid es el SID del usuario)
% ProgramData% \ Microsoft \ Crypto \ RSA \ MachineKeys \
6. El ransomware elimina los datos de EFS de la memoria utilizando AdvApi32! FlushEfsCache no documentado (disponible desde Windows Vista). En este momento, los archivos cifrados se vuelven ilegibles para el usuario (y el sistema operativo).
7. Idealmente, el ransomware borra las partes flojas del disco para garantizar que los datos de los archivos de clave EFS eliminados y los archivos temporales utilizados por EncryptFile no puedan recuperarse. Esto también se puede hacer antes del paso anterior.
8. El ransomware ahora puede cifrar los datos del archivo de claves recopilados en el paso 5, por ejemplo, utilizando una clave asimétrica (pública) cableada en el ransomware y enviar los datos cifrados al atacante directamente (o indicar a la víctima que lo haga) .
Para restaurar los archivos, un atacante tiene que descifrar los archivos de clave utilizando la clave privada. Luego, el malware restaura los archivos al estado original y Windows, una vez más, puede leer los archivos del usuario.
El equipo de investigación probó su ransomware basado en EFS con soluciones de seguridad con funcionalidad anti-ransomware de tres proveedores conocidos (ESET Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861 (a) y Microsoft Windows 10 Controlled Folder Access en Windows 10 de 64 bits, versión 1809 (compilación 17763) y descubrió que todos ellos no pudieron detener los ataques. Al ver esto, los investigadores proporcionaron sus hallazgos a 17 proveedores de ciberseguridad (la lista completa de proveedores y sus respuestas están disponibles en un Publicación del blog de Safebreach).
Si bien muchos de ellos ya han abordado este problema (con una solución, o una solución, o una actualización), Microsoft dijo que el gigante de la tecnología "considera que el acceso controlado a carpetas es una característica de defensa en profundidad" y que "evaluó esta presentación a sea un problema moderado de defensa de clase en profundidad, que no cumpla con los Criterios de Servicio de Seguridad de Microsoft para Windows ". La compañía también ha agregado que "puede considerar abordar esto en un producto futuro".
https://safebreach.com/Post/EFS-Ransomware
