Raziskovalci so odkrili, kako lahko zlonamerna programska oprema Windows EFS izkoristi šifrirni datotečni sistem Windows in tako od proizvajalcev varnosti zahteva, da izdajajo popravke.

 

windows-efsKako Windows EFS lahko nenamerno pomaga hekerjem?

Varnostni raziskovalci so objavili podrobnosti, kako se lahko zlorabi datotečni sistem šifriranja Windows (EFS). Več glavnih proizvajalcev varnostnih rešitev je izdalo popravke za zaščito računalnikov pred tem napadom, ker orodja za preprečevanje zlonamerne programske opreme niso uspela obraniti napada.

 

To, novo taktiko zlonamerne programske opreme so odkrili v SafeBreach Labs, kjer so raziskovalci razmišljali o novih, bolj izpopolnjenih načinih za uvajanje prefinjenih metod za izvajanje zlonamerne programske opreme. “Pomembno je, da razumemo katerih taktih se napadalci lahko poslužujejo, da bomo lahko razvili boljši nadzor,” pravi soustanovitelj in CTO Itzik Kotler. Raziskovalci so želeli identificirati vektorje napada, pred katerimi današnja orodja za preprečevanje zlonamernih programov nimajo možnosti obrambe.

 

Microsoft je leta 2000 začel ponujati EFS poslovnim strankam z izdajami Windows Pro, Professional, Business, Ultimate, Enterprise in Education. EFS omogoča šifriranje določenih map in datotek, ki so ključ uporabniku sistema Windows. Šifriranje in dešifriranje se opravi v gonilniku NTFS pod gonilniki filtrov datotečnega sistema. Del šifrirnega ključa je shranjen v datoteki, do katere lahko uporabnik dostopa; del je izračunan iz gesla računa. EFS ne smemo zamenjati z BitLockerjem, ki opravlja funkcijo polnega šifriranja diska.

 

Kako poteka napad z zlorabo Windows EFS-ja?  

Raziskovalci so ustvarili svoj konceptni zlonamerni program v laboratorijskem okolju, da bi preverili, ali ga lahko protivirusna programska oprema obrani. Ker ta zlonamerna programska oprema uporablja funkcijo EFS, v nasprotju s tipično taktiko takšne opreme, za prepisovanja datoteke uporablja drugačen nabor sistemskih klicev.

 

Mislili smo, da obstaja velik potencial za popolno izogibanje varnostnemu nadzoru, kar se je v resnici tudi izkazalo, pravi Amit Klein, podpredsednik za varnostne raziskave.

 

Zlonamerna programska oprema, ki so jo razvili, najprej ustvari ključ, ki ga bo uporabljal EFS, in potrdilo za ta ključ, ki je dodano v osebno shrambo potrdil. Nato nastavi trenutni ključ EFS certifikatu, ki ga je ustvarila zlonamerna programska oprema. Ta ključ se zdaj lahko prikliče v določenih datotekah in mapah, da se jih šifrira. Zlonamerna programska oprema shrani ključne datoteke v pomnilnik in jih izbriše iz dveh mapah:

  • %APPDATA% \Microsoft\Crypto\RSA\sid\ (where sid is the user SID)
  • %ProgramData% \Microsoft\Crypto\RSA\MachineKeys\

 

Od tod zlonamerna programska oprema izbriše podatke iz EFS pomnilnika in tako napadalcem omogoči dostopnost šifriranih datotek. V idealnem primeru, razlagajo raziskovalci, zlonamerna programska oprema pobriše tudi ohlapne dele diska, in tako zagotovi, da podatkov iz ključnih EFS datotek in začasnih datotek, ki jih uporablja EncryptFile, ni mogoče najti. Zlonamerna programska oprema lahko zdaj podatke, ki jih je ukradla iz dveh prej omenjenih datotek, šifrira z javnim ključem, ki ga ima vdelanega, in pošlje šifrirane podatke napadalcu. Datoteke so šifrirane na globoki ravni jedra in jih filtri gonilnikov datotečnega sistema ne opazijo. Za napad ne potrebujejo skrbniških pravic ali človeške interakcije, izpostavlja še Klein.

 

Katere verzije operacijskega sistema Windows so ranljive?

Vsak ransomware program mora imeti način, kako obnoviti datoteke, razlaga Klein, in ta ni nič drugačna. Napadalec bi moral dešifrirati ključne datoteke s svojim zasebnim ključem, da jih povrne v prvotno stanje. Ko se to zgodi, bo Windows operacijski sistem lahko prebral uporabniške datoteke. Raziskovalci so testirali zlonamerno programsko opremo EFS na 64-bitnih različicah Windows 10 64 bitnih različicah 1803, 1809 in 1903. Deloval naj bi tudi v 32-bitnih operacijskih sistemih Windows in pri starejši različici Windows – verjetno Windows 8.x, Windows 7 in Windows Vista.

 

Skupina raziskovalcev je svojo zlonamerno programsko opremo preizkusila odkriti s tremi specializiranimi orodji: ESET (Internet Security 12.1.34.0), Kaspersky (Anti Ransomware Tool for Business 4.0.0.861a) in Microsoft (Windows 10 Controlled Folder Access v Windows 10 64-bitna različica 1809, izdelava 17763). Vsi trije produkti niso uspeli obraniti operacijski sistem pred tovrstnim napadom.

 

SafeBreach Labs je nato obvestil 17 glavnih proizvajalcev za odkrivanje zlonamernih programskih oprem za Windows operacijske sisteme in jim predložil dokaz koncepta novega vektorja napada z uporabo EFS.

 

“Celotna dejavnost razkritja tega koncepta večjim proizvajalcem varnostnih rešitev je zmanjšanje grožnje, da bi v prihodnosti hekerji uporabili to taktiko za izvajanje hekerskih napadov,” pravi Klein. SafeBreach Labs proizvajalcem varnostnih rešitev razkril junija in julija 2019. Med časom odkritja proizvajalcem in javnim razkritjem je minilo več kot šest mesecev. Večina prizadetih prodajalcev je uporabila posodobitve operacijskega sistema za obrambo pred to tehniko napada.

 

Kako se obraniti pred novimi taktikami zlonamerne programske opreme?

Na računalnikih in strežnikih v vašem podjetju priporočam, da uporabite sisteme UEBA in EDR ter natančno spremljate vse dogodke v centralnem sistemu SIEM. S tem boste hitro zaznali nenavadne dogodke v vaši informacijski infrastrukturi.

 

Ker se napadi z uporabo zlonamerne programske opreme večinoma izvajajo preko ‘phishing’ napadov (nekateri tudi preko podtaknjenih USB ključkov), priporočam, da uporabite tudi sistemov za pregledovanje priponk v e-pošti (ATP oz. sandboxing).

 

Nadalje, okrepite kibernetsko varnost z uporabo sistemov za napredno detekcijo prometa, anomalij in groženj z vgrajenimi mehanizmi umetne inteligence, ki avtomatizirata zamudne varnostne operativne naloge in odpravljata slepe točke v omrežju.

 

Prispevek je pripravil Janez Peršin.