Yaakov's Group | Ciberseguridad

Ransomware WastedLocker abusa de la función de Windows para evadir la detección

Comparte este post en tus redes sociales

El ransomware WastedLocker está abusando de una función de administración de memoria de Windows para evadir la detección por parte del software de seguridad.

Antes de llegar a cómo WastedLocker está evadiendo la detección, es necesario comprender cómo las soluciones anti-ransomware detectan el ransomware.

Las soluciones anti-ransomware supervisarán el sistema operativo en busca de llamadas al sistema de archivos utilizadas tradicionalmente por el ransomware al cifrar un archivo.

Como parte de las soluciones anti-ransomware, el software de seguridad registrará un controlador minifiltro que le permite monitorear las llamadas del sistema que interactúan con un sistema de archivos en tiempo real.

Si este controlador detecta un proceso desconocido que realiza muchas operaciones secuenciales al abrir un archivo, escribir en él y luego cerrar el archivo, se activará una detección de comportamiento y el proceso ofensivo finalizará.

Este método de detección de comportamiento esencialmente sacrifica algunos archivos para detectar comportamientos maliciosos y evitar que el resto de la unidad se cifre.

WastedLocker usa el Administrador de caché de Windows

En las últimas semanas, el WastedLocker Ransomware se ha hecho notorio después de ser atribuido al grupo de piratería Evil Corp sancionado y utilizado para atacar a Garmin.

En un nuevo informe compartido con BleepingComputer antes del lanzamiento, los investigadores de seguridad de Sophos explican cómo WastedLocker usa el Administrador de caché de Windows para evadir la detección.

Para aumentar el rendimiento de Windows, los archivos de uso común o los archivos especificados por una aplicación se leen y almacenan en la memoria caché de Windows, que utiliza la memoria del sistema.

Si un programa necesita acceder a un archivo, el sistema operativo verificará si está en el caché y, de ser así, lo cargará desde allí. Como los datos se almacenan en la memoria caché, es mucho más rápido acceder a sus contenidos que leerlos desde una unidad de disco.

Para evitar la detección mediante soluciones anti-ransomware, WastedLocker incluye una rutina que abre un archivo, lo lee en el Administrador de caché de Windows y luego cierra el archivo original.

Como los datos ahora se almacenan en el Administrador de caché de Windows, WastedLocker cifrará el contenido del archivo almacenado en la memoria caché, en lugar del archivo almacenado en el sistema de archivos.

Cuando se modifican los contenidos de un archivo almacenado en la memoria caché de Windows, se vuelven «sucios». Cuando se ensucian suficientes datos, el Administrador de caché de Windows volverá a escribir los datos en caché cifrados en sus archivos originales.

A medida que el Administrador de caché de Windows se ejecuta como un proceso del Sistema, el software de seguridad verá la escritura de los datos cifrados de un proceso de Windows permitido y legítimo, como se muestra a continuación.

Debido a esto, las detecciones de comportamiento en el software anti-ransomware verán un proceso permitido escribiendo los datos cifrados y no detectarán que algo está mal.

Este método evita de manera efectiva los módulos de protección contra ransomware de una solución de seguridad y permite que WastedLocker cifre todos los archivos.

Mark Loman, Director de Ingeniería de Sophos, le dijo a BleepingComputer que su motor de protección CryptoGuard había sido actualizado para detectar esta derivación.

«Nuestro motor de protección universal contra ransomware ‘CryptoGuard’ también puede detener el nuevo truco del Administrador de caché de Windows. Detecta el cifrado de documentos y revierte los cambios», explicó Loman.

Loman también afirmó que sus productos podrían detectar y detener los ataques WastedLocker a través de otros medios, como el empaquetador de código que usa el malware, su uso de flujos de datos alternativos y la detección de métodos de distribución.

Con el uso de técnicas avanzadas como el Administrador de caché de Windows, flujos de datos alternativos, omisiones de UAC y el hash de nombres de funciones, WastedLocker es una amenaza de ransomware que todas las organizaciones deben tener en cuenta y preocuparse.

Fuente: Bleepincomputer

Deja un comentario