WastedLocker勒索软件滥用Windows内存管理功能逃避检测

8月5日下午消息：据外媒报导，WastedLocker勒索软件正在滥用Windows内存管理功能，以逃避安全软件的检测。

在我们开始研究WastedLocker如何逃避检测之前，有必要了解反勒索软件解决方案如何检测勒索软件。

反勒索软件解决方案将监视操作系统，以保护勒索软件在加密文件时传统上使用的文件系统调用。

作为反勒索软件解决方案的一部分，安全软件将注册一个微型过滤器驱动程序，该驱动程序使其可以实时监视与文件系统交互的系统调用。

如果此驱动程序检测到一个未知进程，该进程执行打开文件，写入文件然后关闭文件的许多顺序操作，则将触发行为检测，并终止有问题的进程。

这种行为检测方法实质上会牺牲一些文件来检测恶意行为并阻止对驱动器的其余部分进行加密。

WastedLocker使用Windows缓存管理器

在过去的几周里，WastedLocker勒索软件因被归咎于受制裁的Evil Corp黑客组织并用于攻击Garmin而变得臭名昭著。

在发行前与BleepingComputer共享的新报告中，Sophos安全研究人员解释了WastedLocker如何使用Windows Cache Manager逃避检测。

为了提高Windows的性能，常用文件或应用程序指定的文件被读取并存储在Windows缓存中，该缓存利用系统内存。

如果程序需要访问文件，则操作系统将检查文件是否在缓存中，如果是，则从那里加载文件。由于数据被缓存在内存中，因此与从磁盘驱动器读取数据相比，访问数据的内容要快得多。

为了绕过反勒索软件解决方案的检测，WastedLocker包含一个例程，该例程打开一个文件，将其读取到Windows缓存管理器中，然后关闭原始文件。

打开文件进行加密的

代码来源：Sophos

由于数据现在存储在Windows缓存管理器中，因此WastedLocker将加密存储在缓存中的文件内容，而不是存储在文件系统中的文件。

修改Windows缓存中存储的文件内容后，它们将变为“脏”。当足够的数据变脏时，Windows缓存管理器会将加密的缓存数据写回到其原始文件中。

当Windows缓存管理器作为系统进程运行时，安全软件将看到从允许的合法Windows进程中写入加密数据，如下所示。

使用Windows系统帐户对文件进行加密

来源：Sophos

因此，在反勒索软件中的行为检测将看到允许的进程写入加密数据，而不会检测到任何错误。

该方法有效地绕过了安全解决方案的勒索软件保护模块，并允许WastedLocker加密所有文件。

Sophos工程总监Mark Loman告诉BleepingComputer，他们的CryptoGuard保护引擎已经过更新，可以检测到这种逃避行为，并且代码更新已发布给HitmanPro.Alert用户。

受Intercept X保护的客户也将在以后收到此更新，并且将通过检测恶意软件使用的代码打包程序，使用备用数据流以及检测分发方法立即获得保护。

通过使用Windows缓存管理器，备用数据流，UAC绕过以及函数名称的哈希等高级技术，WastedLocker成为所有组织都应了解并关注的勒索软件威胁。