Антивирусы получают обновления для борьбы с новым методом атаки шифровальщиков на EFS

Простого сигнатурного обнаружения может быть недостаточно, чтобы защитить систему шифрования EFS от современных семейств троянов-вымогателей.

Во вторник Амит Кляйн (Amit Klein) из Safebreach Labs поделился результатами исследования о том, как система шифрования данных (Encrypting File System, EFS) может злонамеренно использоваться программами-вымогателями.

Во время лабораторного анализа системы шифрования, разработанной Microsoft как альтернатива полному шифрованию NTFS разделов с помощью BitLocker, оказалось, что основные антивирусные решения не могут надежно защитить систему.

В блоге Safebreach Labs сообщается, что ни один из трех основных протестированных продуктов не смог остановить атаки троянами-шифровальщиками.

В испытании, которое проводилось в виртуальных машинах с участием файлов различных типов, принимали участие ESET Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861(a) и функция Контролируемый доступ к папкам в Windows 10 64-bit версия 1809 (сборка 17763).

Лаборатория Safebreach Labs проверяла, может ли EFS злонамеренно использоваться для создания собственного варианта шифровальщика, использующего тактику с генерацией ключей и сертификатов. Чтобы запустить цепочку атаки, вымогатель создавал пару ключ-сертификат, а затем добавлял сертификат в хранилище персональных сертификатов, назначив новый ключ в качестве текущего ключа EFS и вызывал его для папок и файлов, предназначенных для удаления.

На следующем этапе в память сохранялся файл ключа, после чего он удалялся из расположений: %APPDATA% \Microsoft\Crypto\RSA\[user SID]\ и %ProgramData%\Microsoft\Crypto\RSA\MachineKeys\. Потом данные EFS стирались из памяти, чтобы «зашифрованные файлы становились нечитаемыми для пользователей и операционной системы».

Затем, если это было возможно, вредоносная программа стирала зарезервированные части диска и зашифровывала данные файлы цифрового ключа с помощью аппаратно-реализованного открытого ключа в шифровальщике. На данном этапе уже возможна отправка украденной информации на подконтрольный злоумышленнику сервер (command-and-control center, C2).

По словам исследователей, шифрование на основе EFS выполняется непосредственно в ядре. Поскольку драйвер NTFS находится в действии, он также может остаться незамеченным драйверами фильтра файловой системы. Никаких взаимодействий с пользователем и административным прав при этом не требуется.

Тем не менее, при шифровании файлов отображаются значки замка. Это может дать жертвам указание на то, что что-то не так. Если агент восстановления данных (Data Recovery Agent) включен, то восстановление может быть «тривиальной» задачей.

Специалисты Safebreach Labs разработали код подтверждения концепции и предоставили его вместе с отчетом компаниям-разработчикам программ безопасности. Проблема безопасности затронула гораздо больше продуктов, чем считалось первоначально.

Ниже представлена информация по каждому отдельному вендору, включая затронутые продукты и предпринятые действия.

• Avast, Avast Premium Security, Avast Free Antivirus: «Мы реализовали обходное решение для версии 19.8». Компания Avast выплатила исследователям 1000 долларов в рамках программы поощрения поиска уязвимостей.
• Avira, Avira Antivirus Pro: «Мы детально рассмотрели данную потенциальную уязвимость. Мы ценим сообщения о данной уязвимости, но убеждены, что данный обходной путь зависит от сценария индивидуального использования и не является реалистичной «точкой отказа».
• Bitdefender: «10 января исправление стало поставляться для Bitdefender Antivirus, Bitdefender Total Security и Bitdefender Internet Security версий 24.0.14.85. В Bitdefender Antivirus Free Edition исправление используется в отчетном режиме и в будущем могут потребоваться дополнительные изменения».
• Checkpoint, SandBlast Agent: «Исправление будет доступно в следующем ежемесячном обновлении».
• D7xTech, CryptoPrevent Anti Malware: вендор получил уведомление 5 июля, статус неизвестен.
• ESET, продукты, использующие технологию защиты от вымогателей (Ransomware Shield): «В июне 2019 года ESET получила уведомления о потенциальном обходе защиты потребительских, коммерческих и серверных продуктов с помощью стандартного Windows API EncryptFile. ESET удалось перепроверить основной метод, используемый для управления этой атакой. В настоящее время мы выпускаем обновление для смягчения обхода и хотели бы попросить всех клиентов обратиться к Customer Advisory 2020-0002 для получения дополнительной информации о вариантах снижения рисков».
• F-Secure, F-Secure Internet Security (с DeepGuard), F-Secure SAFE: атака обнаруживается как W32/Malware!Online и Trojan.TR/Ransom.Gen.
• GridinSoft, GridinSoft Anti-Ransomware [beta]: «Бесплатная бета-версия программы была выпущена в 2016 году. С того времени она не обновлялась, и основная стабильная версия не была выпущена. Учитывая тот факт, что программа не получала обновления с 2016 года, логично предположить, что она защищает только тех семейств шифровальщиков, которые были обнаружены до 2016 года».
• IObit, IObit Malware Fighter: исправление доступно в версии 7.2.
• «Лаборатория Касперского» (все продукты): все продукты были обновлены для защиты от этой техники.
• McAfee, продукты Endpoint: «McAfee выпустил защиту от образца кода, предоставленного в отчете в обновлениях баз (AV DAT) от 10 января. Это касается как корпоративных, так и потребительских продуктов. AV DAT автоматически обновляются, и клиенты могут проверить версию DAT через пользовательский интерфейс продукта. Корпоративные клиенты, использующие MVision EDR, получили правило обнаружения, доступное с 10 января, которое сработает при выполнении некоторых изменений из доказательства концепции. С помощью EDR администратор может сканировать свои машины на предмет наличия других вредоносных программ, а затем блокировать их выполнение или удалять вредоносные программы».
• Microsoft, Контролируемый доступ к папкам: «Microsoft считает контролируемый доступ к папкам функцией расширенной защиты. Мы оценили данную концепцию как проблему защиты средней степени, которая не соответствует критериям обслуживания программы Безопасность Windows. Microsoft может рассмотреть решение этой проблемы в будущем продукте».
• Panda Security, Panda Adaptive Defense, Panda Dome Advanced: «Защита в линейке продуктов Panda Adaptive Defense строится не на паттернах, а на классификации всех файлов / процессов, выполняющихся в конечной точке. Таким образом, любая атака с использованием неизвестных файлов и процессов будет обнаружена и заблокирована».
• Sophos, Intercept-X Endpoint, CryptoGuard: «Команда приступила к развертыванию данного изменения».
• Symantec, Symantec Endpoint Protection: «Мы выпустили два сигнатурных определения для устранения данной проблемы безопасности. Сигнатуры поставлялись на конечные точки с помощью службы Live Update».
• TrendMicro, Trend Micro Apex One, Trend Micro Ransom Buster: «В настоящее время Trend Micro работает над внедрением некоторых усовершенствований наших продуктов для защиты конечных точек с возможностями защиты от программ-вымогателей, чтобы попытаться предотвратить атаки такого типа. Тем временем мы рекомендуем отключить систему EFS, если она не используется».
• Webroot, Webroot SecureAnywhere AntiVirus: «Мы ценим вклад SafeBreach в раскрытии данной проблемы. Мы не зафиксировали реальных случаев использования данной техники, то теперь можем вооружить наших исследователей необходимой информации для борьбы с угрозой в будущем».

Системные администраторы могут воспользоваться обходным решением и отключить использование EFS с помощью системного реестра или редактора групповых политик. Если EFS активно используется, то ее отключение может повлиять на защиту соответствующих файлов.

Исследователи отмечают:

Бурное развитие программ-вымогателей создает необходимость разработать новые технологии борьбы подобными угрозами. Решения на основе сигнатур не подходят для этой задачи, решения на основе эвристического обнаружения (и даже в большей степени - на основе общих технологий) кажутся более многообещающими, но для их «обучения» требуются дополнительные проактивные исследования.