Hirdetés
. Hirdetés

Itt az első zsarolóvírus, amely intermittáló titkosítást használ

|

A szakaszos titkosítás miatt a biztonsági eszközök nem észlelik a tevékenységét.

Hirdetés

Egy nemrég felfedezett ransomware különböző technikákat alkalmaz, hogy elkerülje a biztonsági eszközökkel való észlelést. A brit Sophos kiberbiztonsági cégnek sikerült felfednie, hogy a LockFile zsarolóvírus-család az első, amely az úgynevezett szakaszos (intermittáló) titkosítási technikát használ a felismerés elkerülésére.

A Symantec augusztus 20-án jelentette, hogy a LockFile legalább július 20-a óta veszi ccélba a termelő, pénzügyi szolgáltatási, mérnöki, jogi, üzleti szolgáltatási, valamint utazási és turisztikai szektorban működő ccégeket. Az arizonai kiberbiztonsági társaság azonban korlátozott információt nyújtott arról, hogy a LockFile hogyan terjed, vagy hogyan titkosította ténylegesen az áldozatok fájljait.

Hirdetés

Kevin Beaumont biztonsági kutató ezután felfedte, hogy a LockFile kihasználta a ProxyShell-t, a Microsoft Exchange sebezhetőségekből álló csomagot, amelyet Orange Tsai, a Devcore kutatója fedett fel a Pwn2Own komputer hackelő versenyyen idén áprilisban. Ez némi betekintést nyújtott abba, hogy a zsarolóprogram hogyan teszi lehetővé a PetitPotam támadást, amelyet a szerverek átvételére használ.

A nyilvánosságra hozott sebezhetőségeket kihasználó ransomware az Exchange-kiszolgálók elleni jól ismert támadás végrehajtásában nem hozott különösebben újat. Ekkor jelent meg a Sophos, és közölte, hogy a LockFile az első olyan zsarolóprogram a praxiusukban, amely szakaszos titkosítást alkalmaz, hogy a biztonsági eszközök ne észleljék a tevékenységét.

"Az intermittáló titkosítás segít a ransomware-nek elkerülni, hogy észleljék a zsarolóprogramok ellen kifejlesztett eszközök mivel a titkosított dokumentum statisztikailag nagyon hasonlít a titkosítatlan eredetire" - közölte a Sophos. Ez azt jelenti, hogy a LockFile anélkül titkosíthatja áldozatai fájljait, hogy aggódnia kellene a biztonsági eszközök miatt.

A Sophos így magyarázta el, hogy mi az újdonság a LockFile titkosítási módszerében:

"Egy 481 KB méretű titkosítatlan szöveges fájl (mondjuk egy könyv) chi^2 pontszáma 3850061. Ha a dokumentumot DarkSide zsarolóprogrammal titkosították volna, akkor a chi^2 pontszám 334 lenne, ami egyértelműen jelzi, hogy a dokumentumot titkosították. Ha ugyanezt a dokumentumot a LockFile zsarolóprogram titkosította, akkor is jelentősen magas, 1789811-es chi^2 pontszáma van. [...] Ez a trükk sikeres lesz a zsarolóvírus elleni védelmi szoftverek ellen, amelyek statisztikai elemzéssel kiegészített tartalomvizsgálatot végeznek a titkosítás észlelésére."

A Sophos felfedett más trükköket is, amelyeket a LockFile a felismerés elkerülésére használ, többek között törli magát, hogy nehezebbé tegye az elemzést, de az időszakos titkosítás használata teszi egyedivé a zsarolóvírust. A LockFile elleni védelem legjobb módja a ProxyShell sebezhetőségek befoltozása és a PetitPotam támadás elleni védekezés - írja a Tom's Hardware.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.