安全公司发现一种新手法,可用微软的加密技术Encryption File System(EFS)来实例勒索软件,让现有多家安全防护产品无法侦测。
微软从Windows 2000时代起为商用版(Pro、Professional、Business、Ultimate、Enterprise及Education)加入EFS。EFS是利用NTFS驱动程序执行加/解密,其密钥一部分是存在文件,另一部分则是由Windows用户账号密码产生,因此用户无需再提供EFS密码。EFS不同于Windows BitLocker,后者是针对全硬盘加密,而EFS则可加密特定文件或文件夹。
安全公司Safebreach发现了一种勒索软件实例方法,可利用EFS来强化勒索软件的威力。首先以勒索软件产生EFS所用的密钥及凭证,将密钥存储在以CAPI(CryptoAPI)使用的文件中,接着将凭证加入到个人凭证库,再将产生出的密钥指定为凭证的EFS密钥。下一步即可调用该密钥加密所有文件或文件夹。最后,将密钥文件存储到内存中,并从二个文件夹(“%APPDATA% \Microsoft\Crypto\RSA\sid\”以及“%ProgramData% \Microsoft\Crypto\RSA\MachineKeys\”)中删掉,让用户再也找不到。
简单的说就是结合EFS加密文件(及文件夹)的特点,再让加/解密密钥消失。这么一来,被勒索软件加密的数据,只有黑客持有的私钥才有办法解密。
研究人员以市面上3家“知名”安全软件,来测试他们的概念验证(PoC)勒索软件,结果3家都无法侦测到。之后他们联系17家杀毒和防勒索软件厂商测试其PoC,许多也声明失败。这些企业现在也都更新了产品,以便加入侦测这种EFS勒索软件的能力。
研究人员说,这突显出安全防护技术必需要不断演进,以因应不断翻新的攻击手法。Safebreach研究部门副总裁Aimt Klein指出,这种新手法不仅难以发现及防堵,而且还有可自动化执行,无需人力介入的优点。该公司表示,特征检测式(signature-based)技术无法防堵,启发式(heuristic-based)或普遍特征(generic-based)方案或许可以,但还需要以更先进研究协助训练算法。