安全廠家進！“ RIPlace”規避技術 –它將使勒索軟體勢不可擋？

勒索軟體是一種有害病毒，旨在黑入網路系統，訪問資料，惡意軟體要求支付贖金。它通常通過欺詐電子郵件或訪問不熟悉的受影響網站而增長。勒索軟體對個人或機構而言都是災難性的。

似乎所有有關成功的勒索軟體攻擊的新聞報導都引用了安全專家的意見，他們提供了相同的兩條建議：始終了解所有軟體補丁，並實施現代的端點保護工具（例如防病毒軟體）以防止包含惡意軟體的電子郵件吸引使用者。到目前為止，這種結合為組織提供了足夠的防禦能力。 

一家美國安全公司，叫Nyotron。

Nyotron開創了具有整合保護功能的新一代自動端點檢測和響應，稱為端點預防和響應（EPR）。他們的產品可防止逃避現有安全層的惡意軟體造成的破壞，並提供對攻擊的詳盡可見性。基於作業系統中心的肯定安全性，Nyotron的PARANOID自動將受信任的作業系統行為列入白名單，並拒絕其他所有行為。無需手動進行威脅搜尋，基準測試，機器學習或雲連線。藉助PARANOID，組織可以獲得針對最高階攻擊的真正的縱深防禦保護。Nyotron的總部位於美國加利福尼亞州聖克拉拉，在以色列設有研發辦公室。

然而在2019年春季，Nyotron的研究團隊發現了一種逃避技術，該技術可以允許惡意行為者更改檔案（包括加密），從而使其繞過大多數防病毒，反勒索軟體和端點檢測與響應（EDR）解決方案的檢測功能。該技術利用記錄在案的Microsoft Windows檔案系統重新命名操作，以使其對安全產品的篩選器驅動程式不可見。

如果利用勒索軟體加以利用，可以為壞蛋提供巨大的優勢。他們將這種技術稱為“ RIPlace”，雖然沒有在野外發現（至少據他們所知），他們已經向Microsoft和安全供應商發出了警報。

Nyotron創始人兼技術長Nir Gaist表示：“ 劍橋大學的一項研究估計，一次勒索軟體攻擊可能會給全球經濟造成超過1800億美元的損失，而RIPlace擁有助長此類攻擊的能力。“我們遵循負責任的披露做法，並鼓勵所有安全廠商積極解決這一重大問題，而不是被動地等待RIPlace被用於攻擊。”

勒索軟體是最常見的網路安全威脅之一。Verizon的資料洩露查詢報告證實：“據稱，這是黑客使用的前2種廣泛使用的技術，就像在劫持28臺計算機的情況下一樣。” 不幸的是，目前證明它很難被發現。勒索軟體可以依靠資料系統來使攻擊者避免當前的電腦保安，這是Windows作業系統中的“重新命名”選擇。繞行可以僅在密碼的兩行中執行。這對黑客來說是如此簡單。

幾乎無法阻擋

RIPlace是Windows檔案系統技術，用於惡意加密檔案時，可以逃避大多數現有的反勒索軟體方法。實際上，到目前為止，Nyotron已經測試過的所有防病毒產品都被繞過了。即使應該跟蹤所有資料相關活動的端點檢測和響應（EDR）產品也完全不瞭解該技術，這意味著這些操作將不可見用於將來的事件響應和調查目的。 

使RIPlace如此陰險的原因是：

（1）它利用Windows作業系統設計缺陷而不是特定軟體的缺陷；

（2）實施起來非常簡單–只需要兩行程式碼。

通常，勒索軟體遵循以下標準步驟： 

• 開啟並讀取原始檔案
• 加密記憶體中的內容
• 通過以下方式銷燬原始檔案：

1. 將加密的內容寫入原始檔案，
2. 或將加密檔案儲存到磁碟，同時使用DeleteFile操作刪除原始檔案，
3. 或將加密的檔案儲存到磁碟，然後使用“重新命名”操作將其替換為原始檔案。

RIPlace技術遵循選項C（稍作修改），並且我們認為惡意行為者可能會濫用此技術，以繞過安全產品並避免獲取證據。

觀看RIPlace如何欺騙防病毒軟體

Nyotron製作了兩個視訊，以展示RIPlace如何欺騙兩種流行的端點安全產品Symantec Endpoint Protection（SEP）和Microsoft Defender Antivirus（Defender AV）–並在完整補丁的 Windows 10系統上惡意加密檔案。 

秒過Windows Defender防病毒軟體（具有“受控資料夾訪問”反勒索軟體功能）

視訊關注微信公眾號：紅數位  觀看

秒過Symantec Endpoint Protection 14（SEP）

視訊關注微信公眾號：紅數位  觀看

他們已按照負責的披露政策通知Microsoft，安全供應商以及所有相關的執法和監管機構。現在，我們已經發布了有關RIPlace技術的詳細報告，以及任何組織都可以下載以檢查其系統的免費測試工具。

您可以使用該工具來檢查系統的RIPlace敏感性。您可以在他們的網站上訪問此工具。

下載免費的RIPlace測試工具，以瞭解您是否容易受到攻擊

https://www.nyotron.com/collateral/RIPlace.rar

小編測試已秒過了幾款殺軟。。。

有興趣請參加：12月12日舉行的線上網路研討會“ RIPlace” –它使勒索軟體勢不可擋嗎？”

https://www.brighttalk.com/webcast/16267/379495?utm_source=Nyotron&utm_medium=brighttalk&utm_campaign=379495

參考：

新聞稿：

https://www.prnewswire.com/news-releases/nyotron-discovers-technique-that-renders-ransomware-invisible-to-security-software-300962794.html

Nyotron釋出規避技術RIPlace報告：

https://www.nyotron.com/collateral/RIPlace-report_compressed-3.pdf

微信搜尋關注紅數位

混跡安全圈，每日必看！