El ransomware WastedLocker está abusando de una función de administración de memoria de Windows para evadir la detección por parte del software de seguridad.
Antes de llegar a cómo WastedLocker está evadiendo la detección, es necesario comprender cómo las soluciones anti-ransomware detectan el ransomware.
Las soluciones anti-ransomware supervisarán el sistema operativo en busca de llamadas al sistema de archivos utilizadas tradicionalmente por el ransomware al cifrar un archivo.
Como parte de las soluciones anti-ransomware, el software de seguridad registrará un controlador minifiltro que le permite monitorear las llamadas del sistema que interactúan con un sistema de archivos en tiempo real.
Si este controlador detecta un proceso desconocido que realiza muchas operaciones secuenciales al abrir un archivo, escribir en él y luego cerrar el archivo, se activará una detección de comportamiento y el proceso ofensivo finalizará.
Este método de detección de comportamiento esencialmente sacrifica algunos archivos para detectar comportamientos maliciosos y evitar que el resto de la unidad se cifre.
WastedLocker usa el Administrador de caché de Windows
En las últimas semanas, el WastedLocker Ransomware se ha hecho notorio después de ser atribuido al grupo de piratería Evil Corp sancionado y utilizado para atacar a Garmin .
En un nuevo informe compartido con BleepingComputer antes del lanzamiento, los investigadores de seguridad de Sophos explican cómo WastedLocker usa el Administrador de caché de Windows para evadir la detección.
Para aumentar el rendimiento de Windows, los archivos de uso común o los archivos especificados por una aplicación se leen y almacenan en la memoria caché de Windows, que utiliza la memoria del sistema.
Si un programa necesita acceder a un archivo, el sistema operativo verificará si está en el caché y, de ser así, lo cargará desde allí. Como los datos se almacenan en la memoria caché, es mucho más rápido acceder a sus contenidos que leerlos desde una unidad de disco.
Para evitar la detección mediante soluciones anti-ransomware, WastedLocker incluye una rutina que abre un archivo, lo lee en el Administrador de caché de Windows y luego cierra el archivo original.
0 Comentarios