Forscher entwickeln neuen Ransomware-Angriff via Windows Encrypting File System

Forscher von der IT-Sicherheitsfirma SafeBreach haben eine Windows-spezifische Proof-of-Concept-Angriffsstrategie entwickelt, die theoretisch auch von Ransomware-Entwicklern implementiert werden könnte – und gegen die im Rahmen ihrer Tests zwei Antiviren-Produkte sowie der Windows-eigene Ordner-Zugriffsschutz "Controlled Folder Access" (CFA) nichts ausrichten konnten. Hinweise auf Angriffe in freier Wildbahn gibt es bislang aber nicht.

Der Angriff basiert auf dem Windows-Feature EFS (Encrypting File System), einer Verschlüsselung auf Dateisystem-Ebene, die bereits mit NTFS-Version 3.0 (Windows 2000) eingeführt wurde. Wichtig zu erwähnen ist, dass das Feature in "Home"-Versionen des Betriebssystems grundsätzlich nicht verfügbar ist und Rechner mit solchen Versionen somit auch nicht anfällig für den Angriff sind.

Ransomware nutzt Windows-Bordmittel

Das EFS-Feature wird in Windows Pro-, Enterprise-, Education- und Ultimate-Versionen sichtbar, wenn man im Eigenschaften-Dialog einer Datei oder eines Ordners (Rechtsklick --> Eigenschaften) in den erweiterten Attributen die Option "Inhalt verschlüsseln, um Daten zu schützen" aktiviert. Im Rahmen einer (allerersten) Verschlüsselung via EFS erzeugt Windows ein Zertifikat mit dem für das Public-/Private-Key-Verschlüsselungsverfahren nötige Schlüsselpaar.

Die Forschern entwickelten nun laut ihrem Eintrag im SafeBreach-Blog eine eigene Ransomware, die sich eben dieses Verfahrens bedient, um beliebige Dateien zu verschlüsseln – allerdings unter Verwendung eines von ihr selbst generierten Zertifikats/Schlüsselpaars. Mittels bestimmter, teils undokumentierter Win-API-Funktionen löscht die Ransomware nach dem Verschlüsselungsprozess die von ihr verwendeten EFS-Schlüsseldaten nebst temporärer Kopien wieder vom System. Die Entschlüsselung ist für das Ransomware-Opfer somit – außer im Falle eines aktivierten Data Recovery Agents – nicht mehr ohne weiteres möglich.

Vorher fertigt die Ransomware für den Angreifer allerdings eine Kopie der Schlüsseldatei an, die sie wiederum (mit einem in ihrem eigenen Code hinterlegten Public Key) verschlüsselt. Diese Kopie könnte sie nun direkt an den Server des Angreifers schicken – oder aber ihr Opfer im Rahmen einer am Bildschirm angezeigten Erpresserbotschaft dazu auffordern, dies zu tun. Der Angreifer ist dann in der Lage, die Verschlüsselung rückgängig zu machen.

Einige AV-Hersteller wollen nachbessern

Die Forscher testeten ihren Angriff nach eigenen Angaben an ESET Internet Security 12.1.34.0, Kaspersky Anti Ransomware Tool for Business 4.0.0.861(a) sowie mit Microsofts CFA auf einem 64-Bit-Windows-10 1809 (Build 17763). CFA, auf Deutsch von Microsoft etwas holperig als "kontrollierter Ordnerzugriff" übersetzt, lässt sich unter Windows 10 in den Einstellungen des Windows Defenders aktivieren. Dort sieht man dann auch eine Liste der Programme, die auf vordefinierte geschützte Ordner zugreifen können.

Im Anschluss an ihre Tests setzten die Forscher nach eigenen Angaben 17 weitere Sicherheitssoftware-Hersteller über ihre Tests und Ergebnisse in Kenntnis. Einige von ihnen, darunter etwa Avast, Bitdefender, Sophos und Symantec, haben bereits mit (Signatur-)Updates für ihre Produkte reagiert; andere arbeiten zur Zeit daran oder erwägen, dies in künftigen Versionen zu tun. Einige gaben an, dass ihre Software Anwender bereits vor dem Angriffsszenario schütze. Avira und Microsoft planen laut SafeBreachs Blog derzeit keine Maßnahmen, da das Szenario zu speziell beziehungsweise unrealistisch sei (Avira) beziehungsweise nicht den herstellereigenen "Security Servicing Criteria" entspreche (Microsoft).

Eine vollständige Übersicht über die Hersteller-Reaktionen und verfügbare Patches ist Safebreachs Blog (Abschnitt "Vendor Status") zu entnehmen. Das Forscherteam weist im Blogeintrag auch darauf hin, dass man EFS, sofern man das Feature nicht benötigt, auch deaktivieren kann, indem man den Registry-Key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration

auf den Wert 1 setzt (bzw. 0x00000001, weil es sich um einen 32-Bit-Wert/DWORD handelt; siehe dazu auch Microsofts Dokumentation). Hierzu benötigt man Administrator-Rechte.

• Ransomware-Themenseite bei heise online

(ovw)