Использование Windows EFS может облегчать работу шифровальщиков и затруднять работу антивирусов

Рекомендуем почитать:

Xakep #249. Wi-Fi

• Содержание выпуска
• Подписка на «Хакер»

Специалисты Safebreach Labs сообщили, что злоумышленники могут использовать Windows Encrypting File System («Шифрованная файловая система», EFS) для своих нужд, причем это поможет не только зашифровать файлы, но и избежать внимания антивирусных решений.

EFS является частью операционных систем Windows со времен релиза Windows 2000. В отличие от полного шифрования BitLocker, EFS может выборочно шифровать отдельные файлы или папки. Теперь исследователи предупреждают, что EFS может представлять немалый интерес для преступников. Дело в том, что использование «родных» функций самой Windows может сбить с толку защитные решения, которые в итоге упустят шифровальщик из виду.

Для начала атаки вымогателю понадобится сгенерировать ключ для EFS, используя AdvApi32!CryptGenKey. Затем сгенерировать сертификат с помощью Crypt32!CertCreateSelfSignCertificate и добавить его в хранилище сертификатов через Crypt32! CertAddCertificateContextToStore. Назначается ключ EFS для этого сертификата, используя AdvApi32! SetUserFileEncryptionKey.
В итоге вымогатель получает возможность использовать AdvApi32! EncryptFile для шифрования любого файла и папки. Следующим шагом будет сохранение файла ключа в память и удаление его из %APPDATA% MicrosoftCryptoRSA[user SID] и %ProgramData%MicrosoftCryptoRSAMachineKeys. Затем данные EFS стираются из памяти при помощи недокументированной AdvApi32!FlushEfsCache и зашифрованные файлы становятся нечитаемыми для пользователя и ОС. Также вымогатель может "затереть" свободные части диска, чтобы гарантировать, что данные из удаленных файлов ключей и временных файлов не будут восстановлены.

Финальным аккордом малварь может зашифровать данные файла ключа и отправить ключ дешифрования злоумышленнику. В итоге единственный способ расшифровать пострадавшие файлы — использовать приватный ключ злоумышленника.

Исследователи успешно испытали созданный для тестов EFS-шифровальщик на 64-разрядных версиях Windows 10 1803, 1809 и 1903. Также аналитики пишут, что малварь должна работать и с 32-разрядными вариациями Windows и более ранними версиями ОС (Windows 8.x, Windows 7 и Windows Vista).

Тестовую малварь проверяли в сочетании с ESET Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861(a), а также MS Windows 10 Controlled Folder Access в 64-разрядной версии Windows 10 1809 (сборка 17763). Ни одно из этих решений не обнаружило атаку и угрозу, однако этого следовало ожидать, ведь шифровальщик пользовался легитимными функциями и манипулировал системной логикой.

Исследователи немедленно проинформировали о своих находках 17 основных производителей защитных решений, продемонстрировав им свой proof-of-concept. Большинство из них (10 из 17), признали существование проблемы и уже внесли исправления в свои продукты. Ниже приводится реакция проинформированных о проблеме компаний.

• Avast: внедрили исправление в антивирус версии 19.8 и выплатили исследователям награду в размере 1000 долларов.
• Avira: сочли, что потенциальный обход защиты зависит от сценария индивидуального использования и вряд ли может считаться «точкой отказа», достойной внимания.
• Bitdefender: с 10 января исправление задействовано в Bitdefender Antivirus, Bitdefender Total Security и Bitdefender Internet Security версии 0.14.85. В Bitdefender Free Edition исправление пока доступно только в режиме уведомлений и потребует дальнейшей настройки.
• Check Point: исправление уже доступно в Corporate Endpoint Client E82.30 и в ближайшие дни станет доступно в новом выпуске Anti-Ransomware Zone Alarm.
• D7xTech: разработчик уведомлен 5 июля 2019 года, статус неизвестен.
• ESET: в настоящее время компания работает над выпуском обновления и призывает клиентов обратиться к Customer Advisory 2020-0002 для получения дополнительной информации о вариантах смягчения проблемы.
• F-Secure: уже обнаруживает EFS-малварь как W32/Malware!Online и Trojan.TR/Ransom.Gen.
• GridinSoft: имеет только бета-версию продукта, выпущенную в 2016 году. С тех пор она не обновлялась, и дело не дошло до полноценного релиза. Поэтому решение защищает лишь от тех вымогателей, которые были популярны до 2016 года.
• IObit: исправление доступно в версии 7.2.
• Kaspersky: все продукты компании обновлены и теперь защищают от описанных исследователями атак.
• McAfee: выпустила защиту от эксплоита исследователей в виде Anti-Virus (AV) DAT, доступных как для корпоративных, так и домашних пользователей. Корпоративные клиенты, использующие MVision EDR, получили специальное правило для обнаружения подобных атак. С помощью EDR администратор может сканировать свои машины на наличие малвари, а затем заблокировать ее выполнение или удалить.
• Microsoft: оценили описанную экспертами проблему как умеренную угрозу, которая не соответствует Microsoft Security Servicing Criteria for Windows. Microsoft, возможно, рассмотрит исправление этой проблемы в будущих продуктах.
• Panda Security: сообщает, что работа продуктов Panda Adaptive Defense основана не на шаблонах, а на классификации всех файлов и процессов, выполняющихся на машине. Таким образом, любая атака с использованием подозрительных файлов и процессов будет обнаружена и блокирована.
• Sophos: Sophos Intercept X и все клиенты, использующие данный продукт, получили обновление и защищены.
• Symantec: создали две сигнатуры для обнаружения подобных атак, чтобы смягчить проблему.
• TrendMicro: в настоящее время работает над созданием защиты от таких атак, а пока рекомендует пользователям отключить EFS.
• Webroot: благодарит специалистов SafeBreach Labs и уверяет, что теперь встретит подобные атаки во всеоружии.

Источник