RIPlace er ny ransomware bypass teknik, der for nylig blev opdaget af sikkerhedseksperter. Teknikken bygger på nogle få linjer kode til succes unddrage sig indbyggede ransomware beskyttelsesfunktioner, stede i sikkerhedsløsninger og Windows 10.
Den RIPlace teknik blev opdaget af flere sikkerhedseksperter fra Nyotron – Daniel Prizmant, Guy Meoded, Freddy Ouzan, og Hanan Natan. Forskerne kontaktede sikkerhed leverandører og Microsoft om problemet. Men, tilsyneladende kun to leverandører tog de nødvendige skridt til at løse problemet og sikre de berørte produkt.
De øvrige selskaber synes at tro, at RIPlace er en ”ikke-problem", forskerne sagde i en samtale med bleeping Computer. Berørte virksomheder omfatter navne som Microsoft, Symantec, Sophos, Carbon Black, trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, Crowdstrike, og PANW Fælder. Kaspersky og Carbon Black er de eneste selskaber, der sikrede deres produkter mod RIPlace bypass teknik.
RIPlace Ransomware Bypass Teknik Forklaret
For at forstå, hvordan den ransomware bypass fungerer, vi nødt til at se på de måde ransomware krypterer data,. For kryptering til at finde sted, den ransomware har at kryptere de målrettede filer og erstatte dem med krypterede data via en af tre primære metoder:
1. Åbne og læse originale fil
2. Krypter indhold i hukommelsen
3. Ødelæg den oprindelige fil ved:
– Skrivning krypteret indhold i oprindelige fil,-
– Eller gemme krypterede fil til disk, samtidig fjerne den originale fil ved hjælp af DeleteFile operation,
– Eller gemme krypterede fil til disk, derefter erstatte den med den originale fil med omdøbningen.
Til effektiv ransomware beskyttelse, alle tre betingelser skal neutraliseres. Men, ser det ud til, at den tredje metode til at erstatte filer på en bestemt måde kunne tillade omgåelse af ransomware beskyttelse.
Når det er sagt, "RIPlace er en Windows filsystem teknik,, når de anvendes til skadeligt kryptere filer, kan omgå de fleste eksisterende anti-ransomware metoder," det forskerne forklarede. Grunden RIPlace er så vanskelig, er, at det udnytter en design fejl i Windows-operativsystemet i stedet for en specifik fejl i softwaren. Endvidere, bypass er let at implementere.
Forskerne gav også to videoer til at vise, hvordan RIPlace tricks to populære endpoint sikkerhedsprodukter - Symantec Endpoint Protection og Microsoft Defender Antivirus.
Mere information om RIPlace er tilgængelig.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: