Ransomware Thanos je schopný obísť súčasné ochrany proti ransomware

Thanos: The Mad Titan

Trocha histórie:

Ešte v roku 2018 spoločnosť Nyotron, zaoberajúca sa riešeniami bezpečnosti pre koncové stanice (End Point Security) informovala tucet výrobcov antimalware a antiransomware výrobcov (medzi inými Sophos, McAfee, Microsoft, Trend Micro …), že objavila spôsob, ako si existujúca ochrana proti ransomware útoku nemusí všimnúť, že dochádza k útoku.

Štandardne totiž ransomware vykonáva nasledujúce akcie:

  • Otvorí a číta originálny súbor
  • Šifruje jeho obsah v pamäti
  • Deštruuje originálny súbor a to
    • zápisom zašifrovaného obsahu do originálneho súboru
    • zápisom zašifrovaného premenovaného súboru a vymazaním originálneho súboru
    • zápisom zašifrovaného súboru a jeho premenovaním s menom originálneho súboru

Pri všetkých týchto úkonoch dochádza k systémovým volaniam, ktoré sú kontrolované antiransomwarom a ten následne spúšťa ochranné procesy.

Nyotron však objavil, že pokiaľ sa najprv zrealizuje prelinkovanie súboru volaním vytvárajúcim tzv. symbolickú linku a až následne premenovanie, tak kontrolné procesy zlyhajú. Dôjde tak premenovaniu súboru a teda šifrovanie bude úspešné.

Ransomware flowchart, zdroj: bleepingcomputer.com

Napriek včasným varovaniam len dve z dvanástich oslovených spoločností – Kaspersky a Carbon Black – reagovali a modifikovali svoje softvéry tak, aby reagovali aj na novú situáciu. Ostatné spoločnosti považovali použitý postup za málo pravdepodobný.

Proof-of-concept

Koncom novembra spoločnosť Nyotron zverejnil informáciu, Proof-of-Concept aj utilitu, ktorou je možné otestovať, či používané antivírové/antiransomware riešenie je odolné voči takému útoku. Informáciu o metodike zverejnil aj portál Bleepingcomputer 21.11.2019.
Bola dostupná a na portály spoločnosti Nyotron. A krátke pdf s vysvetlením nájdete aj u nás.

Uplynulo viac ako 6 mesiacov a portál Threatpost.com v týchto dňoch informuje o zrejme prvom ransomware, resp. rovno o nástroji Ransomware-as-a-Service s názvom Thanos, ktorý využíva taktiku RIPlace popísanú spoločnosťou Nyotron.

Rok 2020

Thanos ako ransomware builder sa prvýkrat objavil koncom januára 2020 a dnes poskytuje okolo 80 rôznych čŕt, ktoré si útočník môže v nástroji nakomponovať. Neprináša žiadne prevratné „útočné novinky“, ale RIPlace črta – schopnosť obísť niektoré antiransomware riešenia ho robí momentálne výnimočným.

Bezpečnostní výskumníci z Recorded Future tvrdia, že Thanos je ešte pod aktívnym vývojom svojich operátorov a ma pozitívnu spätnú väzbu od kybernetických zločincov na underground fórach. Tvrdia, že tento nástroj „funguje bezchybne“ a požadujú „udržiavať aktualizácie v platnosti“. Aj keď do dnešného dňa nezaznamenali výslovne, že by Thanos bol používaný ako súčasť skutočného útoku na nejakú spoločnosť, je to skôr otázka času.

Obrázok: Thanos: The Mad Titan – komiksová postava spoločnosti Marvel

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ