מי צריך הרשאות מנהל? סייפבריצ' מזהירה מכופרה הפועלת עם הרשאות רגילות

safebreach חשפה קונספט כופרה חדש למערכת ההפעלה WINDOWS המבוסס על מרכיב EFS מובנה במערכת. מי אמר living off the land ולא קיבל?

עמית קליין, סמנכ"ל המחקר של סייפבריצ' - צילום: ארתור פורר

חברת הסייבר סייפבריצ' (safebreach) חשפה קונספט כופרה חדש למערכת ההפעלה WINDOWS. החברה טוענת בבלוג שכתבה כי תוקפים יכולים להשתמש במנגנון הEFS של מיקרוסופט המובנה במערכת ההפעלה לצורך הצפנת קבצים ותיקיות באופן סלקטיבי. בניסוי שערכה החברה על כופרה שבנתה במיוחד עבורו, התברר כי 17 יצרני תוכנות אנטי וירוס לא הצליחו לזהות ולעצור את האיום. באותו ניסוי לא נדרשו הרשאות מנהל להפעיל את הכופרה. 

"פיתחנו את הקונספט כחלק מהמחקר בחברה המנסה לצפות את האבולוציה של איומים קיימים וממפה איומים עתידיים", מסביר עמית קליין, סמנכ"ל המחקר של סייפבריצ'. מנגנון הEFS או בשמו המלא Encrypting File System פועל במסגרת גרעין מערכת ההפעלה (קרנל) ומאפשר לתוקף להשתמש בו על מנת להצפין תיקיות במחשב הקורבן. המנגנון, כאמור, אינו דורש הרשאות מנהל. 

הכופרה שנבנתה לצורך הניסוי המתבססת על מנגנון הEFS נבדקה בגירסאות Windows 10 64 סיביות 1803, 1809 ו- 1903, אך צפויה לעבוד גם על מערכות הפעלה Windows 32, וגם על גרסאות קודמות של Windows (ככל הנראה Windows 8.x, Windows 7 ו- Windows Vista), טוענים בבלוג החברה. 

היתרונות שעלו בניסוי כללו הפעלה של מנגנון הEFS ברמת הקרנל והצפנה ברמת מנהל התקן NTFS, כך ששינוי הקבצים אינו מורגש על ידי מנהלי התקנים לסינון מערכת הקבצים.     תוכנת הכופר שנבנתה לצורך הניסוי והשתמשה בEFS אינה דורשת הרשאות מנהל והיא עבדה גם בחשבונות משתמש מוגבלים. כמו גם, הכופרה בניסוי לא דרשה התערבות של המשתמש בתהליך. 

החוקרים מסבירים כי ניתן לנטרל את תוכנת הEFS באמצעות הגדרות ברג'סטרי. בניסוי נבדקה הכופרה מול פתרונות הגנה ייעודיים לתוכנות כופר כמו Kaspersky Anti Ransomware, ESET Internet Security ו-Microsoft Windows 10 Controlled Folder Access. "כל שלושת המוצרים לא הצליחו להגן על הקבצים", נכתב בבלוג. הניסוי של סייפבריצ' עושה שימוש במוצרים קיימים של המערכת הנתקפת תחת הגדרה בשם living off the land.

אולי יעניין אותך גם