El ransomware WastedLocker abusa de la función de Windows para evadir la detección

El ransomware WastedLocker está abusando de una función de administración de memoria de Windows para evadir la detección por parte del software de seguridad.

Antes de llegar a cómo WastedLocker está evadiendo la detección, es necesario comprender cómo las soluciones anti-ransomware detectan el ransomware.

Las soluciones anti-ransomware supervisarán el sistema operativo en busca de llamadas al sistema de archivos utilizadas tradicionalmente por el ransomware al cifrar un archivo.

Como parte de las soluciones anti-ransomware, el software de seguridad registrará un controlador minifiltro que le permite monitorear las llamadas del sistema que interactúan con un sistema de archivos en tiempo real.

Si este controlador detecta un proceso desconocido que realiza muchas operaciones secuenciales al abrir un archivo, escribir en él y luego cerrar el archivo, se activará una detección de comportamiento y el proceso ofensivo finalizará.

Este método de detección de comportamiento esencialmente sacrifica algunos archivos para detectar comportamientos maliciosos y evitar que el resto de la unidad se cifre.

WastedLocker usa el Administrador de caché de Windows

En las últimas semanas, el WastedLocker Ransomware se ha hecho notorio después de ser atribuido al  grupo de piratería Evil Corp sancionado  y utilizado para  atacar a Garmin .

En un nuevo informe  compartido con BleepingComputer antes del lanzamiento, los investigadores de seguridad de Sophos explican cómo WastedLocker usa el Administrador de caché de Windows para evadir la detección.

Para aumentar el rendimiento de Windows, los archivos de uso común o los archivos especificados por una aplicación se leen y almacenan en la memoria caché de Windows, que utiliza la memoria del sistema.

Si un programa necesita acceder a un archivo, el sistema operativo verificará si está en el caché y, de ser así, lo cargará desde allí. Como los datos se almacenan en la memoria caché, es mucho más rápido acceder a sus contenidos que leerlos desde una unidad de disco.

Para evitar la detección mediante soluciones anti-ransomware, WastedLocker incluye una rutina que abre un archivo, lo lee en el Administrador de caché de Windows y luego cierra el archivo original.

Código que abre un archivo para encriptar
Código que abre un archivo para cifrar
Fuente: Sophos

Como los datos ahora se almacenan en el Administrador de caché de Windows, WastedLocker cifrará el contenido del archivo almacenado en la memoria caché, en lugar del archivo almacenado en el sistema de archivos.


Cuando se modifican los contenidos de un archivo almacenado en la memoria caché de Windows, se vuelven "sucios". Cuando se ensucian suficientes datos, el Administrador de caché de Windows volverá a escribir los datos en caché cifrados en sus archivos originales.

A medida que el Administrador de caché de Windows se ejecuta como un proceso del Sistema, el software de seguridad verá la escritura de los datos cifrados de un proceso de Windows permitido y legítimo, como se muestra a continuación.

Los archivos se cifran con una cuenta del sistema de Windows
Los archivos se cifran con una cuenta del sistema de Windows
Fuente: Sophos

Debido a esto, las detecciones de comportamiento en el software anti-ransomware verán un proceso permitido escribiendo los datos cifrados y no detectarán que algo está mal.

Este método evita de manera efectiva los módulos de protección contra ransomware de una solución de seguridad y permite que WastedLocker cifre todos los archivos.

Mark Loman, Director de Ingeniería de Sophos, dijo a BleepingComputer que su motor de protección CryptoGuard se ha actualizado para detectar esta evasión y se han implementado actualizaciones de código para los usuarios de HitmanPro.Alert. 

Los clientes protegidos por Intercept X también recibirán esta actualización en un momento posterior, y estarán inmediatamente protegidos por la detección del paquete de códigos que utiliza el malware, su uso de flujos de datos alternativos y la detección de métodos de distribución

Con el uso de técnicas avanzadas como el Administrador de caché de Windows, flujos de datos alternativos , omisiones de UAC y el hash de nombres de funciones, WastedLocker es una amenaza de ransomware que todas las organizaciones deben tener en cuenta y preocuparse.

Fuente: https://www.bleepingcomputer.com/

No olvides Compartir... 
Siguenos en twitter: @disoftin - @fredyavila


Publicar un comentario

0 Comentarios