Denne nyopdagede ransomware arbejder hurtigt og har flere måder at undgå at blive opdaget på i Windows-systemer med kendte sårbarheder.
En ny ransomware trussel kaldet LockFile har krævet ofre virksomheder over hele verden siden juli og nøglen til dens succes er et par nye tricks, der gør det sværere for anti-ransomware-løsninger at opdage den.
Truslen bruger hvad populært kaldes “sporadisk kryptering”, hvilket betyder, at den kun krypterer bidder af data inde i en fil i stedet for dens komplette indhold. Dette fremskynder krypteringsprocessen betydeligt, men narrer også ransomware-beskyttelsessystemer, der er afhængige af statistisk analyse for at opdage potentielt uautoriseret filkryptering.
LockFile er konstrueret med unddragelse i tankerne
LockFile bruger flere teknikker designet til at undgå registrering begyndende med sin egen eksekverbare fil, som er både pakket og misdannet. Den første del af filen er fuld af nuller og efterfølges af et andet afsnit, der indeholder kodede data. Tre funktioner, der er placeret i slutningen afkoder dataene fra den anden sektion, placerer dem i det første afsnit og hopper derefter til koden for at udføre dem. Målet med denne rutine er at smide beskyttelsessoftware, der overvåger filudførelse, ud.
Malwaren udnytter derefter WMI (Windows Management Interface) til at scanne efter og dræbe vigtige processer, der er forbundet med virksomhedsprogrammer, herunder virtuelle Hyper-V-maskiner, Oracle VM Virtual Box Manager, Oracle VM Virtual Box-tjenester, Microsoft SQL Server, MySQL-database, Oracle MTS Recovery Service, Oracle RDBMS Kernel, Oracle TNS Listener og virtuelle VMware-maskiner.
Målet med at dræbe disse processer er at fjerne alle systemlåse sat på databaser, virtuelle maskiner eller konfigurationsfiler sat af disse applikationer, så ransomware kan kryptere dem.
Et andet bemærkelsesværdigt trick er den måde, hvorpå LockFile udfører handlinger på filer. Malwaren ændrer ikke direkte filer på disken, men knytter dem først til systemets RAM-hukommelse, udfører ændringerne der og er derefter afhængig af Windows System-processen for at bekræfte ændringerne på disken.
For et problemovervågningsprodukt vises dette som input/output-handlinger (I/O), der udføres af selve operativsystemet, ikke af en potentielt mistænkelig proces. Det vil også ske med en forsinkelse, der kan variere fra sekunder til minutter, afhængigt af hvor travlt disken er.
Periodisk kryptering
Brugen af periodisk kryptering er imidlertid en ny udvikling, som ikke er set før i ransomware. Andre trusler som LockBit 2.0, DarkSide og BlackMatter har brugt delvis kryptering og krypterer kun begyndelsen af dokumenter for at fremskynde processen, men LockFiles tilgang er anderledes og betydelig.
Fra et sikkerhedsmæssigt perspektiv er ufuldstændig kryptering dårlig, fordi det efterlader data udsat, men målet med ransomware er ikke databeskyttelse. Det er kontrolleret og reversibel data korruption, der bare bruger kryptering som et værktøj. Derfor behøver ransomware ikke at kryptere det fulde indhold af filer, men lige nok til at gøre dem ubrugelige for brugeren, hvilket er, hvad LockBit 2.0, DarkSide og BlackMatter opnår ved at kryptere startdelen af filer.
LockFiles tilgang er imidlertid at kryptere alle andre 16 byte i en fil. Så de resulterende filer vil indeholde 16 byte krypterede data, efterfulgt af 16 byte uberørte originale data, igen efterfulgt af yderligere 16 byte krypterede data og så videre. Denne proces er ikke så hurtigt som at kryptere bare startdelen, men har en anden fordel: Det forvrænger statistisk analyse.
Nogle programmer til registrering af ransomware bruger statistiske analysetest til at registrere, om en filændring er resultatet af filkryptering. Hvis testen angiver, at en fil er krypteret, blokerer programmet processen fra at ændre yderligere filer.
Dette fungerer, fordi krypterede filer, der består af tilfældige data, ser meget forskellige fra en ukrypteret fil til statistisk analyse. En af de test, der almindeligvis anvendes til at påvise statistisk signifikante forskelle i data kaldes chi-squared (chi ^2) test.
“En ukrypteret tekstfil på 481KB (f.eks. en bog) har en chi^2-score på 3850061. Hvis dokumentet blev krypteret af DarkSide ransomware, det ville have en chi ^ 2 score på 334 – hvilket er en klar indikation af, at dokumentet er blevet krypteret. Hvis det samme dokument er krypteret af LockFile ransomware, det ville stadig have en betydeligt høj chi ^ 2 score på 1789811. Med andre ord, hvis et detektionsprogram er kalibreret af dets skabere til kun at opdage og handle på meget store statistiske forskelle for at undgå falske positiver, kan det gå glip af den kryptering, der udføres af LockFile.
Det sidste trick i LockFiles playbook er at slette sig selv efter at have afsluttet krypteringsprocessen. Dette kan frustrere hændelse svar, fordi respondenterne vil søge efter en ransomware binær til at analysere og rense ud i systemet.
LockFile-distribution
LockFile ransomware er blevet distribueret ved at udnytte en række sårbarheder i Microsoft Exchange-servere kendt kollektivt som ProxyShell (CVE-2021-34473, CVE-2021-34523 og CVE-2021-31207). Programrettelser til disse sårbarheder har været tilgængelige siden april og maj, men på trods af at de er mere alvorlige og lettere at udnytte end proxyLogon-sårbarheden, der udnyttes til at installere webskaller på Exchange-servere, har de ikke fået samme opmærksomhedsniveau. Som et resultat har mange organisationer ikke patchet deres servere.
Kilde: CSOOnline.com