This post is also available in: Português
WastedLocker abusa de um aspecto do gerenciamento de memória para evitar a detecção por softwares de segurança.
Não é raro ouvir que o ditado “O maior vence o menor” está ultrapassado, e que agora o correto é dizer “O mais rápido vence o mais lento”. Em um contexto semelhante, foi o que fez o ransomware WastedLocker com o Windows. Ele aproveitou uma característica do armazenamento em cache do sistema operacional para agir em silêncio em milhares de computadores.
Mas como ele dribla as detecções? Primeiro, é preciso entender como atua a maioria das soluções antirransomware. Na realidade, elas monitoram em tempo real as chamadas do sistema de arquivos que tradicionalmente são usadas pelas ameaças ao criptografar um documento.
Como parte das soluções antirransomware, o software de segurança registra um driver de minifiltro que permite monitorar as chamadas do sistema que estão interagindo com um sistema de arquivos.
Se esse driver detectar um processo desconhecido executando muitas operações sequenciais – abrindo um arquivo, gravando nele e fechando-o – uma detecção comportamental será acionada e o processo suspeito será interrompido e encerrado.
Esse método de detecção comportamental sacrifica alguns arquivos para detectar comportamentos maliciosos e impedir que o restante da unidade seja criptografado.
WastedLocker usa um bom disfarce
A grande sacada do WastedLocker é usar o Windows Cache Manager para evitar a detecção. Funciona assim: para aumentar o desempenho do Windows, os arquivos mais usados ou especificados por um aplicativo são lidos e armazenados no cache do Windows, que utiliza a memória do sistema.
Se um programa precisar acessar um arquivo, o sistema operacional verificará se ele está no cache. Se estiver, vai carregá-lo a partir daí. Como os dados são armazenados em cache na memória, é muito mais rápido acessar dali seu conteúdo do que lê-lo em uma unidade de disco.
Para ignorar a detecção por soluções antirransomware, o WastedLocker inclui uma rotina que abre um arquivo, faz a leitura dele no Gerenciador de Cache do Windows e fecha o arquivo original.
Dessa maneira, criptografa o conteúdo do arquivo armazenado no cache, ao invés de fazer isso no arquivo armazenado no HD.
Quando o conteúdo de um arquivo armazenado no cache do Windows é modificado, ele fica “sujo”. Quando dados demais ficarem sujos, o Windows Cache Manager gravará os dados em cache já criptografados de volta nos arquivos originais. Ou seja, o Windows é induzido ao erro de devolver ao sistema um arquivo infectado.
Como o Windows Cache Manager é executado como um processo normal do sistema – o que de fato ele é – o software de segurança verá a gravação dos dados criptografados como um processo previamente permitido.
Devido a isso, as detecções comportamentais nos softwares antirransomwares verão um processo legítimo para gravar os dados criptografados, e não notam que algo está errado.
Esse método ignora efetivamente os módulos de proteção de ransomware de uma solução de segurança e permite que o WastedLocker criptografe todos os arquivos.
Nesse sentido, o WastedLocker é uma ameaça que todas as empresas devem se preocupar. Na realidade, mostra mais uma vez a necessidade de encarar a segurança da informação como uma estratégia de negócio.
Afinal, o que um ransomware faz é bloquear o máximo possível de arquivos e cobrar caro para devolver o acesso. E, mesmo pagando, não há a certeza de que tudo voltará a ser como era antes, pois é uma negociação com criminosos. E entre as suas especialidades está a velocidade e a eficiência, pois os hackers já descobriram há tempos que não é o maior que vence o menor, mas sim o mais rápido que vence o mais lento.
This post is also available in: Português
