Connect with us

News

RIPlace: La tecnica che consente ai Ransomware di crittografare file non rilevati

Redazione

Pubblicato

il

I ricercatori della sicurezza di Nyotron hanno scoperto una nuova tecnica che sfrutta le operazioni di ridenominazione del file system di Microsoft Windows per non essere rilevate dai prodotti di sicurezza,
Gli aggressori possono utilizzare questo metodo RIPlace per modificare qualsiasi file sui computer che eseguono Windows XP o la nuova versione dei sistemi operativi.

Secondo la ricerca di Nyotron , tutti i prodotti antivirus inclusi Endpoint Detection e Response testati finora erano completamente ciechi rispetto alle operazioni sui file che utilizzano questa tecnica, inclusa la crittografia.

Ogni volta che un file rinominato richiede un’operazione chiamata IRP_MJ_SET_INFORMATION , richiede di impostare i metadati su un file con FileInformationClass impostato su FileRenameInformation e quindi il filtro ottiene un callback, in modo da poter filtrare la richiesta.

Facebook Comment

In Edicola


238 – Dal 15 Novembre 2019!

Forum

Facebook

Trending

IN EDICOLA