Эксплойт для уязвимостей в программах-вымогателях от Conti, REvil и LockBit блокирует шифрование.
Операторы шифровальщиков часто используют уязвимости для проникновения в корпоративные сети. Однако в программах-вымогателях тоже есть бреши, которые сумел найти специалист из MalVuln project под ником hyp3rlinx . Он изучал не только старые семейства вымогателей – REvil и Conti, но и новичков вроде Black Basta, LockBit и AvosLocker. Согласно отчетам на сайте эксперта, все шифровальщики имеют проблемы с безопасностью, которые можно использовать для остановки самого разрушительного этапа атаки – шифрования файлов.
Анализируя образцы вредоносных программ различных хакерских группировок, hyp3rlinx обнаружил у всех образцов уязвимость к перехвату DLL. Данный метод используют злоумышленники для внедрения вредоносного кода в официальные приложения.
Перехват DLL работает только в Windows-системах, используя способ поиска и загрузки необходимых DLL-файлов в память приложений. Программа с недостаточным количеством проверок может загрузить DLL за пределами своего каталога, повышая привилегии или выполняя вредоносный код.
По словам специалиста, для уязвимых образцов вымогательского ПО от Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker, эксплойт способен завершить работу вредоносной программы перед началом шифрования. Чтобы использовать уязвимости шифровальщика, нужно скомпилировать код эксплойта в DLL-файл с определенным именем. Тогда программа-вымогатель распознает файл как собственный и загрузит для начала шифрования данных.
На видео hyp3rlinx использует перехват DLL в программе-вымогателе от REvil и успешно завершает процесс шифрования данных до его начала.
“Для защиты от этих семейств вымогателей, DLL можно поместить в место, где злоумышленники будут запускать свое ПО, например в сеть с важными данными”, – сказал hyp3rlinx. “После загрузки DLL-эксплоита процесс программы-вымогателя должен завершиться до начала шифрования данных”.
Исследователь отмечает, что, в то время, когда вредоносное ПО отключает системы безопасности на зараженной машине, оно не может ничего сделать против перехвата DLL, поскольку это просто файлы, хранящиеся на диске хоста и неактивные до момента запуска.
Пока неясно, какие версии вредоносных программ оказались уязвимы к обнаруженной проблеме. Если образцы новые, то эксплоит будет работать недолго, поскольку вымогатели быстро исправляют попавшие в открытый доступ ошибки. Эксплоиты могут быть рабочими еще некоторое время, но компании все равно рискуют стать жертвами вымогателей, поскольку кража данных с целью получения выкупа – неотъемлемая часть подобных угроз.
Но даже при таком раскладе эксплойты все равно окажутся полезными для предотвращения нарушений работы, способных нанести компании-жертве колоссальный ущерб.
Лечим цифровую неграмотность без побочных эффектов