Спецпроекты

Шифровальщик, поставивший на колени Garmin, невидим для антивирусов. Он использует внутренние механизмы Windows

Безопасность Администратору Стратегия безопасности Маркет
Вредонос WastedLocker, использованный при атаке на Garmin, использует диспетчер кэша Windows, чтобы избежать блокировки со стороны защитных средств. Шифрование фактически производится в самом кэше Windows.

Сопротивление бесполезно?

Эксперты компании Sophos опубликовали исследование шифровальщика WastedLocker, который использует определённые функции Windows для обеспечения скрытности и обхода защиты.

В частности, шифровальщик использует диспетчер кэша Windows, чтобы избежать внимания со стороны защитных средств, разработанных специально для блокировки шифровальных программ.

Такие средства как правило мониторят вызовы файлов, типичные для шифровальщиков; для этого используется драйвер минифильтра, который детектирует подозрительные вызовы в режиме реального времени. Если обнаруживается неизвестный процесс, который производит множество последовательных операций - открытие файла, запись в него и закрытие, срабатывает механизм поведенческой защиты и подозрительный процесс блокируется.

В результате, правда, несколько файлов оказываются повреждёнными в любом случае.

Шифровальщик WastedLocker использует механизм, позволяющий ему избегать детектирования.

Бомба в кэш

Для оптимизации работы, операционная система кэширует часто используемые файлы, а также файлы, предназначенные для использования конкретными приложениями. Когда какое-либо приложение запрашивает доступ к файлу, Windows проверяет, присутствует ли он в кэше, и если да, то загружает его оттуда. Это занимает куда меньше времени, чем считывание файла с диска.

Чтобы избежать обнаружения, вредонос WastedLocker, использованный при атаке на Garmin, использует диспетчер кэша Windows

WastedLocker использует эту особенность: открыв тот или иной файл, он записывает его содержимое в кэш, а затем закрывает. Изменению (шифрованию) подвергается именно то, что находится в кэше.

С определённого момента все изменённые в кэше данные перезаписываются в оригинальные файлы. Тем самым в качестве шифровальщика выступает по сути сама операционная система, и, естественно, антишифровальные инструменты бессильны остановить происходящее - с их точки зрения, происходящее совершенно легитимно. Тем более, что диспетчер кэша Windows функционирует с привилегиями SYSTEM.

Sophos уже обновляет собственные разработки таким образом, чтобы блокировать подобное поведение.

Повышенная угроза

Как утверждает Bleeping Computer, шифровальщик WastedLocker, по-видимому, создан русскоязычной кибергруппировкой Evil Corp; именно его использовали в ходе недавней нашумевшей атаки на Garmin, в результате которой была парализована как работа как компании, так и выпущенных ей устройств. Предположительно Garmin заплатила выкуп операторам WastedLocker за прекращение атаки.

Помимо использования диспетчера кэша Windows, этот шифровальщик способен обходить средства контроля учётных записей Windows, использует альтернативные потоки данных и хэширование названий функций.

«WastedLocker - одна из самых серьёзных на сегодняшний день угроз; её разработчики очень скрупулёзно подошли к тому, чтобы предотвратить обнаружение и блокировку шифровальщика, - говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Поэтому наиболее простой и продуктивный способ - это предотвратить попадание шифровальщика в систему. EvilCorp специализируется на взломе сайтов, которые затем начинают выводить пользователям ложные сообщения о необходимости обновить то или иное ПО. Естественно, вместо обновлений им загружаются инструменты удалённого доступа, с помощью которого они затем пытаются скомпрометировать всю сеть потенциальной жертвы. Соответственно, необходимо следить за тем, чтобы никакие обновления не скачивались из непроверенных источников, и тем более, чтобы у корпоративных работников не было возможность их устанавливать. Все стандартные средства защиты сетей также должны работать исправно - предотвратить атаку проще, чем бороться с последствиями».

Вероятнее всего, в ближайшем будущем другие разработчики антишифровальных средств также реализуют механизмы блокировки шифрования через кэш Windows. Но до тех пор, пока это не произошло, WastedLocker представляет повышенную угрозу.