APP下载

Windows EFS可被用来实作勒索软件,防毒软件侦测不到

消息来源:baojiabao.com 作者: 发布时间:2024-03-28

报价宝综合消息Windows EFS可被用来实作勒索软件,防毒软件侦测不到

安全公司Safebreach发现一种勒索软件实作方法,可利用微软EFS来强化勒索软件的威力,让市面上3家知名安全软件,以及多家防毒和防勒索软件厂商都无法侦测到其PoC。(示意图:Photo by Kony Xyzx on unsplash)

安全公司发现一种新手法,可用微软的加密技术Encryption File System(EFS)来实作勒索软件,让现有多家安全防护产品无法侦测。

微软从Windows 2000时代起为商用版(Pro、Professional、Business、Ultimate、Enterprise及Education)加入EFS。EFS是利用NTFS驱动程式执行加/解密,其金钥一部分是存在档案,另一部分则是由Windows用户账号密码产生,因此用户无需再提供EFS密码。EFS不同于Windows BitLocker,后者是针对全硬盘加密,而EFS则可加密特定档案或资料夹。

安全公司Safebreach发现了一种勒索软件实作方法,可利用EFS来强化勒索软件的威力。首先以勒索软件产生EFS所用的金钥及凭证,将金钥储存在以CAPI(CryptoAPI)使用的档案中,接着将凭证加入到个人凭证库,再将产生出的金钥指定为凭证的EFS金钥。下一步即可呼叫该金钥加密所有档案或资料夹。最后,将金钥档案储存到内存中,并从二个资料夹(“%APPDATA% \\Microsoft\\Crypto\\RSA\\sid\\”以及“%ProgramData% \\Microsoft\\Crypto\\RSA\\MachineKeys\\”)中删掉,让使用者再也找不到。

简单的说就是结合EFS加密档案(及资料夹)的特点,再让加/解密金钥消失。这么一来,被勒索软件加密的资料,只有骇客持有的私钥才有办法解密。

研究人员以市面上3家“知名”安全软件,来测试他们的概念验证(PoC)勒索软件,结果3家都无法侦测到。之后他们联络17家防毒和防勒索软件厂商测试其PoC,许多也宣告失败。这些业者现在也都更新了产品,以便加入侦测这种EFS勒索软件的能力。

研究人员说,这突显出安全防护技术必须要不断演进,以因应不断翻新的攻击手法。Safebreach研究部门副总裁Aimt Klein指出,这种新手法不仅难以发现及防堵,而且还有可自动化执行,无需人力介入的优点。该公司表示,特征检测式(signature-based)技术无法防堵,启发式(heuristic-based)或普遍特征(generic-based)方案或许可以,但还需要以更先进研究协助训练算法。

2020-01-22 16:49:00

相关文章