安全公司Safebreach發現一種勒索軟體實作方法,可利用微軟EFS來強化勒索軟體的威力,讓市面上3家知名安全軟體,以及多家防毒和防勒索軟體廠商都無法偵測到其PoC。(示意圖:Photo by Kony Xyzx on unsplash)

安全公司發現一種新手法,可用微軟的加密技術Encryption File System(EFS)來實作勒索軟體,讓現有多家安全防護產品無法偵測。

微軟從Windows 2000時代起為商用版(Pro、Professional、Business、Ultimate、Enterprise及Education)加入EFS。EFS是利用NTFS驅動程式執行加/解密,其金鑰一部份是存在檔案,另一部份則是由Windows用戶帳號密碼產生,因此用戶無需再提供EFS密碼。EFS不同於Windows BitLocker,後者是針對全硬碟加密,而EFS則可加密特定檔案或資料夾。

安全公司Safebreach發現了一種勒索軟體實作方法,可利用EFS來強化勒索軟體的威力。首先以勒索軟體產生EFS所用的金鑰及憑證,將金鑰儲存在以CAPI(CryptoAPI)使用的檔案中,接著將憑證加入到個人憑證庫,再將產生出的金鑰指定為憑證的EFS金鑰。下一步即可呼叫該金鑰加密所有檔案或資料夾。最後,將金鑰檔案儲存到記憶體中,並從二個資料夾(「%APPDATA% \Microsoft\Crypto\RSA\sid\」以及「%ProgramData% \Microsoft\Crypto\RSA\MachineKeys\」)中刪掉,讓使用者再也找不到。

簡單的說就是結合EFS加密檔案(及資料夾)的特點,再讓加/解密金鑰消失。這麼一來,被勒索軟體加密的資料,只有駭客持有的私鑰才有辦法解密。

研究人員以市面上3家「知名」安全軟體,來測試他們的概念驗證(PoC)勒索軟體,結果3家都無法偵測到。之後他們聯絡17家防毒和防勒索軟體廠商測試其PoC,許多也宣告失敗。這些業者現在也都更新了產品,以便加入偵測這種EFS勒索軟體的能力。

研究人員說,這突顯出安全防護技術必須要不斷演進,以因應不斷翻新的攻擊手法。Safebreach研究部門副總裁Aimt Klein指出,這種新手法不僅難以發現及防堵,而且還有可自動化執行,無需人力介入的優點。該公司表示,特徵檢測式(signature-based)技術無法防堵,啟發式(heuristic-based)或普遍特徵(generic-based)方案或許可以,但還需要以更先進研究協助訓練演算法。


Advertisement

更多 iThome相關內容