Investigadores de seguridad de la empresa Nyotron descubrieron una nueva técnica que aprovecha las operaciones de cambio de nombre del sistema de archivos de Microsoft Windows para no ser detectado por los productos de seguridad. Los atacantes pueden usar este método RIPlace para alterar cualquier archivo en las computadoras con S.O Windows.

RIPlace una nueva técnica de evasión que permite a los atacantes encriptar archivos en computadoras con S.O. Windows sin ser detectados por productos anti-ransomware.

Cada vez que se llama a una solicitud de cambio de nombre (específicamente, IRP_MJ_SET_INFORMATION con FileInformationClass establecido en FileRenameInformation), el driver lter recibe una devolución de llamada, para que pueda filtrar la solicitud.

El descubrimiento de RIPlace es que en la función de devolución de llamada el driver lter no puede analizar la ruta de destino cuando se usa la rutina común FltGetDestinationFileNameInformation.

Devuelve un error al pasar una ruta de DosDevice (en lugar de devolver la ruta, postprocesada); sin embargo, la llamada Rename se realiza correctamente.

Con esta técnica, es posible cifrar maliciosamente los archivos y omitir los productos antivirus/antiransomware que no manejan adecuadamente la devolución de llamada IRP_MJ_SET_INFORMATION.

sintaxis
técnica

Puntos objetivos de la amenaza

Todos los usuarios que usen sistemas operativos Windows.

Nuestras recomendaciones

  • De momento no hay alguna actualización de seguridad, por lo cual se recomienda estar alertas a próximas actualizaciones de Windows para proceder con su pronto despliegue.
  • A todos los usuarios se les recomienda evitar la instalación o ejecución de programas de dudosa procedencia, generalmente los no licenciados.
  • Mantener los servicios de antivirus actualizados ya que en cualquier momento los hash aun no registrados a nivel de muestras por los fabricantes serán incluidos en las últimas firmas.

Referencias

Fuente 1: RIPlace – A new Evasion Technique that Let Ransomware to Encrypt Files Undetected

Fuente 2: New RIPlace Bypass Evades Windows 10, AV Ransomware Protection

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .