Специалисты Safebreach Labs сообщили, что злоумышленники могут использовать Windows Encrypting File System («Шифрованная файловая система», EFS) для своих нужд, причем это поможет не только зашифровать файлы, но и избежать внимания антивирусных решений.
EFS является частью операционных систем Windows со времен релиза Windows 2000. В отличие от полного шифрования BitLocker, EFS может выборочно шифровать отдельные файлы или папки. Теперь исследователи предупреждают, что EFS может представлять немалый интерес для преступников. Дело в том, что использование «родных» функций самой Windows может сбить с толку защитные решения, которые в итоге упустят шифровальщик из виду.
Для начала атаки вымогателю понадобится сгенерировать ключ для EFS, используя AdvApi32!CryptGenKey. Затем сгенерировать сертификат с помощью Crypt32!CertCreateSelfSignCertificate и добавить его в хранилище сертификатов через Crypt32! CertAddCertificateContextToStore. Назначается ключ EFS для этого сертификата, используя AdvApi32! SetUserFileEncryptionKey.
В итоге вымогатель получает возможность использовать AdvApi32! EncryptFile для шифрования любого файла и папки. Следующим шагом будет сохранение файла ключа в память и удаление его из %APPDATA% \Microsoft\Crypto\RSA\[user SID]\ и %ProgramData%\Microsoft\Crypto\RSA\MachineKeys\. Затем данные EFS стираются из памяти при помощи недокументированной AdvApi32!FlushEfsCache и зашифрованные файлы становятся нечитаемыми для пользователя и ОС. Также вымогатель может "затереть" свободные части диска, чтобы гарантировать, что данные из удаленных файлов ключей и временных файлов не будут восстановлены.
Финальным аккордом малварь может зашифровать данные файла ключа и отправить ключ дешифрования злоумышленнику. В итоге единственный способ расшифровать пострадавшие файлы — использовать приватный ключ злоумышленника.
Исследователи успешно испытали созданный для тестов EFS-шифровальщик на 64-разрядных версиях Windows 10 1803, 1809 и 1903. Также аналитики пишут, что малварь должна работать и с 32-разрядными вариациями Windows и более ранними версиями ОС (Windows 8.x, Windows 7 и Windows Vista).
Тестовую малварь проверяли в сочетании с ESET Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861(a), а также MS Windows 10 Controlled Folder Access в 64-разрядной версии Windows 10 1809 (сборка 17763). Ни одно из этих решений не обнаружило атаку и угрозу, однако этого следовало ожидать, ведь шифровальщик пользовался легитимными функциями и манипулировал системной логикой.
Исследователи немедленно проинформировали о своих находках 17 основных производителей защитных решений, продемонстрировав им свой proof-of-concept. Большинство из них (10 из 17), признали существование проблемы и уже внесли исправления в свои продукты. Ниже приводится реакция проинформированных о проблеме компаний.
EFS является частью операционных систем Windows со времен релиза Windows 2000. В отличие от полного шифрования BitLocker, EFS может выборочно шифровать отдельные файлы или папки. Теперь исследователи предупреждают, что EFS может представлять немалый интерес для преступников. Дело в том, что использование «родных» функций самой Windows может сбить с толку защитные решения, которые в итоге упустят шифровальщик из виду.
Для начала атаки вымогателю понадобится сгенерировать ключ для EFS, используя AdvApi32!CryptGenKey. Затем сгенерировать сертификат с помощью Crypt32!CertCreateSelfSignCertificate и добавить его в хранилище сертификатов через Crypt32! CertAddCertificateContextToStore. Назначается ключ EFS для этого сертификата, используя AdvApi32! SetUserFileEncryptionKey.
В итоге вымогатель получает возможность использовать AdvApi32! EncryptFile для шифрования любого файла и папки. Следующим шагом будет сохранение файла ключа в память и удаление его из %APPDATA% \Microsoft\Crypto\RSA\[user SID]\ и %ProgramData%\Microsoft\Crypto\RSA\MachineKeys\. Затем данные EFS стираются из памяти при помощи недокументированной AdvApi32!FlushEfsCache и зашифрованные файлы становятся нечитаемыми для пользователя и ОС. Также вымогатель может "затереть" свободные части диска, чтобы гарантировать, что данные из удаленных файлов ключей и временных файлов не будут восстановлены.
Финальным аккордом малварь может зашифровать данные файла ключа и отправить ключ дешифрования злоумышленнику. В итоге единственный способ расшифровать пострадавшие файлы — использовать приватный ключ злоумышленника.
Исследователи успешно испытали созданный для тестов EFS-шифровальщик на 64-разрядных версиях Windows 10 1803, 1809 и 1903. Также аналитики пишут, что малварь должна работать и с 32-разрядными вариациями Windows и более ранними версиями ОС (Windows 8.x, Windows 7 и Windows Vista).
Тестовую малварь проверяли в сочетании с ESET Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861(a), а также MS Windows 10 Controlled Folder Access в 64-разрядной версии Windows 10 1809 (сборка 17763). Ни одно из этих решений не обнаружило атаку и угрозу, однако этого следовало ожидать, ведь шифровальщик пользовался легитимными функциями и манипулировал системной логикой.
Исследователи немедленно проинформировали о своих находках 17 основных производителей защитных решений, продемонстрировав им свой proof-of-concept. Большинство из них (10 из 17), признали существование проблемы и уже внесли исправления в свои продукты. Ниже приводится реакция проинформированных о проблеме компаний.
- Avast: внедрили исправление в антивирус версии 19.8 и выплатили исследователям награду в размере 1000 долларов.
- Avira: сочли, что потенциальный обход защиты зависит от сценария индивидуального использования и вряд ли может считаться «точкой отказа», достойной внимания.
- Bitdefender: с 10 января исправление задействовано в Bitdefender Antivirus, Bitdefender Total Security и Bitdefender Internet Security версии 0.14.85. В Bitdefender Free Edition исправление пока доступно только в режиме уведомлений и потребует дальнейшей настройки.
- Check Point: исправление уже доступно в Corporate Endpoint Client E82.30 и в ближайшие дни станет доступно в новом выпуске Anti-Ransomware Zone Alarm.
- D7xTech: разработчик уведомлен 5 июля 2019 года, статус неизвестен.
- ESET: в настоящее время компания работает над выпуском обновления и призывает клиентов обратиться к Customer Advisory 2020-0002 для получения дополнительной информации о вариантах смягчения проблемы.
- F-Secure: уже обнаруживает EFS-малварь как W32/Malware!Online и Trojan.TR/Ransom.Gen.
- GridinSoft: имеет только бета-версию продукта, выпущенную в 2016 году. С тех пор она не обновлялась, и дело не дошло до полноценного релиза. Поэтому решение защищает лишь от тех вымогателей, которые были популярны до 2016 года.
- IObit: исправление доступно в версии 7.2.
- Kaspersky: все продукты компании обновлены и теперь защищают от описанных исследователями атак.
- McAfee: выпустила защиту от эксплоита исследователей в виде Anti-Virus (AV) DAT, доступных как для корпоративных, так и домашних пользователей. Корпоративные клиенты, использующие MVision EDR, получили специальное правило для обнаружения подобных атак. С помощью EDR администратор может сканировать свои машины на наличие малвари, а затем заблокировать ее выполнение или удалить.
- Microsoft: оценили описанную экспертами проблему как умеренную угрозу, которая не соответствует Microsoft Security Servicing Criteria for Windows. Microsoft, возможно, рассмотрит исправление этой проблемы в будущих продуктах.
- Panda Security: сообщает, что работа продуктов Panda Adaptive Defense основана не на шаблонах, а на классификации всех файлов и процессов, выполняющихся на машине. Таким образом, любая атака с использованием подозрительных файлов и процессов будет обнаружена и блокирована.
- Sophos: Sophos Intercept X и все клиенты, использующие данный продукт, получили обновление и защищены.
- Symantec: создали две сигнатуры для обнаружения подобных атак, чтобы смягчить проблему.
- TrendMicro: в настоящее время работает над созданием защиты от таких атак, а пока рекомендует пользователям отключить EFS.
- Webroot: благодарит специалистов SafeBreach Labs и уверяет, что теперь встретит подобные атаки во всеоружии.