Er is een nieuwe methode ontdekt om de Windows Ransomware-bescherming te beschadigen. Hackers kunnen gecontroleerde maptoegang omzeilen via de Windows Register-editor.
Microsoft heeft onlangs een functie toegevoegd, bekend als gecontroleerde toegang tot mappen. De functie is gebruikt om wijzigingen in bestanden die woonachtig zijn in beschermde mappen die niet kan worden geopend door onbekende programma's te stoppen. Helaas, die functie is omzeild door een simpele registerwaarde gecreëerd door de onderzoekers Soya Aoyama een beveiligingsspecialist bij Fujitsu System Integration Laboratories Ltd.
Verwant: Windows 10 Anniversary bijwerken Met Ransomware Protection
Hoe de Windows Ransomware-bescherming wordt omzeild
De onderzoeker heeft aangetoond een aanval via een kwaadaardige DLL injecties in Windows Verkenner. Aangezien Explorer is in de vertrouwde service van Windows, wanneer de DLL wordt geïnjecteerd erin, het zal een script uitvoeren dat de functie voor ransomwarebescherming van Windows omzeilt.
Dit kan worden bereikt door een aanval op Windows “waar het het meest pijn doet” - het Windows Register-editor. toen begonnen, th DLL's worden geladen onder een willekeurige sub-key, zich in de volgende subsleutel:
→ HKEY_CLASSES_ROOT * shellex ContextMenuHandlers
Dit leidt tot verschillende uitkomsten, Hij belangrijkste daarvan zijn de registersleutel die wordt gecreëerd repliceert zich aan HKEY_LOCAL_MACHINE en HKEY_CLASSES_ROOT bomen. Wanneer Windows Verkenner wordt uitgevoerd, het begint te Shell.dll uit de sub-key volgende registersleutel te laden:
→ HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID {90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32
Kort na dit gebeurt, de kwaadaardige DLL wordt geladen in explorer.exe en de onderzoeker eenvoudig instellen van de standaardwaarde van de DLL 0.
Wat volgt tijdens het doorbreken van de Windows-ransomwarebescherming is dat Windows Verkenner (explorer.exe) wordt afgesloten en opnieuw gestart met de kwaadaardige DLL wordt uitgevoerd erin. Dit resulteert in de volledige omzeilen van de gecontroleerde Folder Access-functie.
Niet alleen de DLL deed bypass Windows Defender, maar het omzeild ook grote antivirus producten, zoals:
- Avast.
- CASE.
- Malwarebytes Premium.
- McAfee.
Dus de bottom line is dat de onderzoeker maakte gebruik van de applicaties die toestemmingen over de Controlled Folder Access-functie te hebben en deze rechten te gebruiken in de DLL aanval.
Microsoft te zeggen had in hun verdediging dat Aoyama toegang heeft eerder verkregen tot de computer dat hij liet zien hoe kwetsbaar en dus kunnen ze hem niet compenseren, wat nogal vreemd. Maar wat niet vreemd is dat je beheerdersrechten niet eens nodig om de ransomware bescherming van de gecontroleerde toegang tot mappen in hacken en dat is zeer verontrustend.
Ventsislav Krastev
Ventsislav is sindsdien een cybersecurity-expert bij SensorsTechForum 2015. Hij heeft onderzoek gedaan, aan het bedekken, slachtoffers helpen met de nieuwste malware-infecties plus het testen en beoordelen van software en de nieuwste technische ontwikkelingen. Na afgestudeerd Marketing, alsmede, Ventsislav heeft ook een passie voor het leren van nieuwe verschuivingen en innovaties in cybersecurity die gamechangers worden. Na het bestuderen van Value Chain Management, Netwerkbeheer en computerbeheer van systeemtoepassingen, hij vond zijn ware roeping binnen de cyberbeveiligingsindustrie en gelooft sterk in het opleiden van elke gebruiker in de richting van online veiligheid en beveiliging.
Volg mij: