Этот исследователь только что победил банды вымогателей в их собственной игре
Исследователь в области безопасности обнаружил ключевые недостатки, связанные с популярными программами- вымогателями и вредоносными программами — положение дел, которое может привести к тому, что их создатели полностью переосмыслят подход к внедрению потенциальных жертв.
В настоящее время среди наиболее активных групп, использующих программы-вымогатели, такие как Conti, REvil, Black Basta, LockBit и AvosLocker. Однако, как сообщает Bleeping Computer , было обнаружено, что вредоносное ПО, разработанное этими кибер-бандами, имеет серьезные уязвимости в системе безопасности.
Эти дефекты вполне могут оказаться разрушительным открытием для вышеупомянутых групп — в конечном счете, такие дыры в безопасности могут быть нацелены на то, чтобы предотвратить то, для чего создается большинство программ-вымогателей; шифрование файлов, содержащихся в системе.
Исследователь безопасности hyp3rlinx, специализирующийся на исследовании уязвимостей вредоносных программ, изучил штаммы вредоносных программ, принадлежащие к ведущим группам программ-вымогателей. Интересно, что он сказал, что образцы были подвержены захвату библиотеки динамической компоновки (DLL) — методу, который традиционно используется самими злоумышленниками, нацеленными на программы с помощью вредоносного кода.
«Перехват DLL работает только в системах Windows и использует способ, которым приложения ищут и загружают в память нужные им файлы библиотеки динамической компоновки (DLL)», — объясняет Bleeping Computer. «Программа с недостаточными проверками может загрузить DLL из пути за пределами своего каталога, повысив привилегии или выполнив нежелательный код».
Эксплойты, связанные с образцами программ-вымогателей, которые были проверены hyp3rlinx — все они получены из Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker — авторизуют код, который может по существу «контролировать и прекращать предварительное шифрование вредоносного ПО».
Благодаря обнаружению этих недостатков hyp3rlinx смог разработать код эксплойта, который собирается в DLL. Отсюда этому коду присваивается определенное имя, тем самым эффективно обманывая вредоносный код, заставляя его распознавать его как свой собственный. Последний процесс включает в себя загрузку указанного кода, чтобы он начал процесс шифрования данных.
Для удобства исследователь безопасности загрузил видео , которое показывает, как уязвимость перехвата DLL используется (группой вымогателей REvil), чтобы положить конец атаке вредоносного ПО еще до того, как она может начаться.
Значение открытия этих подвигов
Как подчеркивает Bleeping Computer, типичной областью компьютера, на которую нацелена программа-вымогатель, является сетевое расположение, в котором могут храниться конфиденциальные данные. Таким образом, hyp3rlinx утверждает, что после загрузки эксплойта DLL путем размещения этой DLL в определенных папках процесс вымогателя теоретически должен быть остановлен, прежде чем он сможет нанести ущерб.
Вредоносное ПО способно обходить процессы снижения безопасности, но hyp3rlinx подчеркивает, что вредоносный код совершенно неэффективен, когда сталкивается с DLL.
Тем не менее, приведет ли исследование исследователя к долгосрочным изменениям в предотвращении или, по крайней мере, уменьшении воздействия программ-вымогателей и вредоносных программ, это совсем другой вопрос.
«Если образцы новые, вполне вероятно, что эксплойт будет работать только в течение короткого времени, потому что банды вымогателей быстро исправляют ошибки, особенно когда они попадают в публичное пространство», — сказал Bleeping Computer. «Даже если эти результаты окажутся жизнеспособными в течение некоторого времени, компании, на которые нацелены банды вымогателей, по-прежнему рискуют украсть и просочиться важные файлы, поскольку эксфильтрация, чтобы заставить жертву заплатить выкуп, является частью образа действий этого злоумышленника. ”
Тем не менее, веб-сайт кибербезопасности добавил, что эксплойты hyp3rlinx «могут оказаться полезными, по крайней мере, для предотвращения сбоев в работе, которые могут нанести значительный ущерб».
Таким образом, несмотря на то, что группы вымогателей в ближайшем будущем, вероятно, исправят его, обнаружение этих эксплойтов является обнадеживающим первым шагом к влиянию на разработку и распространение опасного кода. Это также может привести к более продвинутым методам смягчения последствий для предотвращения атак.
Группы программ-вымогателей не состоят из обычных хакеров. Создание и распространение эффективного вредоносного ПО — сложная задача сама по себе, а непредвиденная финансовая выгода от успешной атаки может принести преступникам сотни миллионов долларов . Значительная часть этих нечестных доходов получена от невинных людей.