RIPlace is nieuw ransomware bypass techniek die onlangs door de beveiliging onderzoekers werd ontdekt. De techniek is gebaseerd op slechts een paar regels code om met succes te omzeilen ingebouwde ransomware features bescherming, aanwezig in security-oplossingen en Windows 10.
De RIPlace techniek werd ontdekt door een aantal security onderzoekers van Nyotron – Daniel Prizmant, Guy Meoded, Freddy Ouzan, en Hanan Natan. De onderzoekers gecontacteerd security vendors en Microsoft over de kwestie. Echter, blijkbaar slechts twee leveranciers heeft de nodige stappen om het probleem aan te pakken en zet het betreffende product.
De andere bedrijven lijken te geloven dat RIPlace is een “non-issue", de onderzoekers zei in een gesprek met Bleeping Computer. Getroffen bedrijven zijn onder namen als Microsoft, Symantec, Sophos, Carbon zwart, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, Crowdstrike, en PANW Vallen. Kaspersky en Carbon Black zijn de enige bedrijven die hun producten beveiligd tegen de RIPlace bypass techniek.
RIPlace Ransomware Bypass Techniek Explained
Om te begrijpen hoe de ransomware bypass werkt, we moeten kijken naar de manier waarop ransomware versleutelt data. Voor de encryptie te laten plaatsvinden, de ransomware moet de beoogde bestanden te versleutelen en te vervangen door gecodeerde gegevens via één van de drie primaire methoden:
1. Open en lees oorspronkelijke bestand
2. Versleutelen inhoud in het geheugen
3. Vernietig het oorspronkelijke bestand door:
– Het schrijven van versleutelde inhoud in originele bestand,-
– Of opslaan gecodeerde bestand op de harde schijf, tijdens het verwijderen van het oorspronkelijke bestand met de DeleteFile operatie,
– Of opslaan gecodeerde bestand op de harde schijf, vervolgens te vervangen door het oorspronkelijke bestand met de Rename operatie.
Voor een efficiënte ransomware bescherming, alle drie voorwaarden moet worden geneutraliseerd. Echter, het lijkt erop dat de derde methode van het vervangen van bestanden op een specifieke manier het ontduiken van de ransomware bescherming kan leiden tot.
Dat gezegd zijnde, "RIPlace is een Windows-bestandssysteem techniek die, wanneer gebruikt om kwaadwillig versleutelen van bestanden, kunnen de meeste bestaande anti-ransomware methoden te omzeilen," de onderzoekers verklaard. De reden RIPlace is zo lastig is dat het maakt gebruik van een ontwerpfout in het Windows-besturingssysteem in plaats van een specifieke fout in de software. Bovendien, de bypass is eenvoudig te implementeren.
De onderzoekers voorzien ook twee video's om te laten zien hoe RIPlace trucs twee populaire endpoint security producten - Symantec Endpoint Protection en Microsoft Defender Antivirus.
Meer informatie over RIPlace is beschikbaar.