首页
论坛
专栏
课程

安全厂家进!“ RIPlace”规避技术 –它将使勒索软件势不可挡?

红数位 发布于 红数位 2019-11-26 12:15


勒索软件是一种有害病毒,旨在黑入网络系统,访问数据,恶意软件要求支付赎金。它通常通过欺诈电子邮件或访问不熟悉的受影响网站而增长。勒索软件对个人或机构而言都是灾难性的。


似乎所有有关成功的勒索软件攻击的新闻报道都引用了安全专家的意见,他们提供了相同的两条建议:始终了解所有软件补丁,并实施现代的端点保护工具(例如防病毒软件)以防止包含恶意软件的电子邮件吸引用户。到目前为止,这种结合为组织提供了足够的防御能力。 


一家美国安全公司,叫Nyotron。


Nyotron开创了具有集成保护功能的新一代自动端点检测和响应,称为端点预防和响应(EPR)。他们的产品可防止逃避现有安全层的恶意软件造成的破坏,并提供对攻击的详尽可见性。基于操作系统中心的肯定安全性,Nyotron的PARANOID自动将受信任的操作系统行为列入白名单,并拒绝其他所有行为。无需手动进行威胁搜寻,基准测试,机器学习或云连接。借助PARANOID,组织可以获得针对最高级攻击的真正的纵深防御保护。Nyotron的总部位于美国加利福尼亚州圣克拉拉,在以色列设有研发办公室。


然而在2019年春季,Nyotron的研究团队发现了一种逃避技术,该技术可以允许恶意行为者更改文件(包括加密),从而使其绕过大多数防病毒,反勒索软件和端点检测与响应(EDR)解决方案的检测功能。该技术利用记录在案的Microsoft Windows文件系统重命名操作,以使其对安全产品的筛选器驱动程序不可见。


如果利用勒索软件加以利用,可以为坏蛋提供巨大的优势。他们将这种技术称为“ RIPlace”,虽然没有在野外发现(至少据他们所知),他们已经向Microsoft和安全供应商发出了警报。


Nyotron创始人兼首席技术官Nir Gaist表示:“ 剑桥大学的一项研究估计,一次勒索软件攻击可能会给全球经济造成超过1800亿美元的损失,而RIPlace拥有助长此类攻击的能力。“我们遵循负责任的披露做法,并鼓励所有安全厂商积极解决这一重大问题,而不是被动地等待RIPlace被用于攻击。”



勒索软件是最常见的网络安全威胁之一。Verizon的数据泄露查询报告证实:“据称,这是黑客使用的前2种广泛使用的技术,就像在劫持28台计算机的情况下一样。” 不幸的是,目前证明它很难被发现。勒索软件可以依靠数据系统来使攻击者避免当前的计算机安全,这是Windows操作系统中的“重命名”选择。绕行可以仅在密码的两行中执行。这对黑客来说是如此简单。


几乎无法阻挡

RIPlace是Windows文件系统技术,用于恶意加密文件时,可以逃避大多数现有的反勒索软件方法。实际上,到目前为止,Nyotron已经测试过的所有防病毒产品都被绕过了。即使应该跟踪所有数据相关活动的端点检测和响应(EDR)产品也完全不了解该技术,这意味着这些操作将不可见用于将来的事件响应和调查目的。 


使RIPlace如此阴险的原因是:

(1)它利用Windows操作系统设计缺陷而不是特定软件的缺陷;

(2)实施起来非常简单–只需要两行代码。


通常,勒索软件遵循以下标准步骤: 

  • 打开并读取原始文件
  • 加密内存中的内容
  • 通过以下方式销毁原始文件:

  1. 将加密的内容写入原始文件,
  2. 或将加密文件保存到磁盘,同时使用DeleteFile操作删除原始文件,
  3. 或将加密的文件保存到磁盘,然后使用“重命名”操作将其替换为原始文件。


RIPlace技术遵循选项C(稍作修改),并且我们认为恶意行为者可能会滥用此技术,以绕过安全产品并避免获取证据。


观看RIPlace如何欺骗防病毒软件


Nyotron制作了两个视频,以展示RIPlace如何欺骗两种流行的端点安全产品Symantec Endpoint Protection(SEP)和Microsoft Defender Antivirus(Defender AV)–并在完整补丁的 Windows 10系统上恶意加密文件。 


秒过Windows Defender防病毒软件(具有“受控文件夹访问”反勒索软件功能)

视频关注微信公众号:红数位  观看

秒过Symantec Endpoint Protection 14(SEP)

视频关注微信公众号:红数位  观看


他们已按照负责的披露政策通知Microsoft,安全供应商以及所有相关的执法和监管机构。现在,我们已经发布了有关RIPlace技术的详细报告,以及任何组织都可以下载以检查其系统的免费测试工具。


您可以使用该工具来检查系统的RIPlace敏感性。您可以在他们的网站上访问此工具。

下载免费的RIPlace测试工具,以了解您是否容易受到攻击

https://www.nyotron.com/collateral/RIPlace.rar


小编测试已秒过了几款杀软。。。


有兴趣请参加:12月12日举行的在线网络研讨会“ RIPlace” –它使勒索软件势不可挡吗?”

https://www.brighttalk.com/webcast/16267/379495?utm_source=Nyotron&utm_medium=brighttalk&utm_campaign=379495


参考:

新闻稿:

https://www.prnewswire.com/news-releases/nyotron-discovers-technique-that-renders-ransomware-invisible-to-security-software-300962794.html


Nyotron发布规避技术RIPlace报告:

https://www.nyotron.com/collateral/RIPlace-report_compressed-3.pdf


微信搜索关注红数位

混迹安全圈,每日必看!



分享到:
最新评论 (0)
登录后即可评论