Windows EFS可被用來實作勒索軟體，防毒軟體偵測不到

安全公司發現一種新手法，可用微軟的加密技術Encryption File System（EFS）來實作勒索軟體，讓現有多家安全防護產品無法偵測。

微軟從Windows 2000時代起為商用版（Pro、Professional、Business、Ultimate、Enterprise及Education）加入EFS。EFS是利用NTFS驅動程式執行加／解密，其金鑰一部份是存在檔案，另一部份則是由Windows用戶帳號密碼產生，因此用戶無需再提供EFS密碼。EFS不同於Windows BitLocker，後者是針對全硬碟加密，而EFS則可加密特定檔案或資料夾。

安全公司Safebreach發現了一種勒索軟體實作方法，可利用EFS來強化勒索軟體的威力。首先以勒索軟體產生EFS所用的金鑰及憑證，將金鑰儲存在以CAPI（CryptoAPI）使用的檔案中，接著將憑證加入到個人憑證庫，再將產生出的金鑰指定為憑證的EFS金鑰。下一步即可呼叫該金鑰加密所有檔案或資料夾。最後，將金鑰檔案儲存到記憶體中，並從二個資料夾（「%APPDATA% \Microsoft\Crypto\RSA\sid\」以及「%ProgramData% \Microsoft\Crypto\RSA\MachineKeys\」）中刪掉，讓使用者再也找不到。

簡單的說就是結合EFS加密檔案（及資料夾）的特點，再讓加／解密金鑰消失。這麼一來，被勒索軟體加密的資料，只有駭客持有的私鑰才有辦法解密。

研究人員以市面上3家「知名」安全軟體，來測試他們的概念驗證（PoC）勒索軟體，結果3家都無法偵測到。之後他們聯絡17家防毒和防勒索軟體廠商測試其PoC，許多也宣告失敗。這些業者現在也都更新了產品，以便加入偵測這種EFS勒索軟體的能力。

研究人員說，這突顯出安全防護技術必須要不斷演進，以因應不斷翻新的攻擊手法。Safebreach研究部門副總裁Aimt Klein指出，這種新手法不僅難以發現及防堵，而且還有可自動化執行，無需人力介入的優點。該公司表示，特徵檢測式（signature-based）技術無法防堵，啟發式（heuristic-based）或普遍特徵（generic-based）方案或許可以，但還需要以更先進研究協助訓練演算法。