Taktika zlonamernega programa

Kako Windows EFS lahko nenamerno pomaga hekerjem?

Varnostni raziskovalci so objavili podrobnosti, kako se lahko zlorabi datotečni sistem šifriranja Windows (EFS). Več glavnih proizvajalcev varnostnih rešitev je izdalo popravke za zaščito računalnikov pred tem napadom, ker orodja za preprečevanje zlonamerne programske opreme niso uspela obraniti napada.

Microsoft je leta 2000 začel ponujati EFS poslovnim strankam z izdajami Windows Pro, Professional, Business, Ultimate, Enterprise in Education. EFS omogoča šifriranje določenih map in datotek, ki so ključ uporabniku sistema Windows. Šifriranje in dešifriranje se opravi v gonilniku NTFS pod gonilniki filtrov datotečnega sistema. Del šifrirnega ključa je shranjen v datoteki, do katere lahko uporabnik dostopa; del je izračunan iz gesla računa.

Kako poteka napad z zlorabo Windows EFS-ja?

Zlonamerna programska oprema, ki so jo razvili, najprej ustvari ključ, ki ga bo uporabljal EFS, in potrdilo za ta ključ, ki je dodano v osebno shrambo potrdil. Nato nastavi trenutni ključ EFS certifikatu, ki ga je ustvarila zlonamerna programska oprema. Ta ključ se zdaj lahko prikliče v določenih datotekah in mapah, da se jih šifrira. Zlonamerna programska oprema shrani ključne datoteke v pomnilnik in jih izbriše iz dveh mapah:

• %APPDATA% MicrosoftCryptoRSAsid (where sid is the user SID)
• %ProgramData% MicrosoftCryptoRSAMachineKeys

Od tod zlonamerna programska oprema izbriše podatke iz EFS pomnilnika in tako napadalcem omogoči dostopnost šifriranih datotek. V idealnem primeru, razlagajo raziskovalci, zlonamerna programska oprema pobriše tudi ohlapne dele diska, in tako zagotovi, da podatkov iz ključnih EFS datotek in začasnih datotek, ki jih uporablja EncryptFile, ni mogoče najti.

Katere verzije operacijskega sistema Windows so ranljive?

Napadi z uporabo zlonamerne programske opreme se večinoma izvajajo preko ‘phishing’ napadov.

Če želite okrepiti kibernetsko varnost vašega operacijskega sistena pred zlonamernimi programi, si rezervirajte mesto 1. aprila 2020 na 22. Tehnološki konferenci Smart Com, kjer bo etični heker in strokovnjak za kibernetsko varnost Smart Com predstavil podrobnosti o izvajanju napadov preko škodljive programske opreme in kako se zaščititi pred takšnimi napadi.