Windows EFS可被用來實例勒索軟體，殺毒軟體偵測不到

安全公司發現一種新手法，可用微軟的加密技術Encryption File System（EFS）來實例勒索軟體，讓現有多家安全防護產品無法偵測。

微軟從Windows 2000時代起為商用版（Pro、Professional、Business、Ultimate、Enterprise及Education）加入EFS。EFS是利用NTFS驅動程序執行加／解密，其密鑰一部分是存在文件，另一部分則是由Windows用戶賬號密碼產生，因此用戶無需再提供EFS密碼。EFS不同於Windows BitLocker，後者是針對全硬碟加密，而EFS則可加密特定文件或文件夾。

安全公司Safebreach發現了一種勒索軟體實例方法，可利用EFS來強化勒索軟體的威力。首先以勒索軟體產生EFS所用的密鑰及憑證，將密鑰存儲在以CAPI（CryptoAPI）使用的文件中，接著將憑證加入到個人憑證庫，再將產生出的密鑰指定為憑證的EFS密鑰。下一步即可調用該密鑰加密所有文件或文件夾。最後，將密鑰文件存儲到內存中，並從二個文件夾（「%APPDATA% \Microsoft\Crypto\RSA\sid\」以及「%ProgramData% \Microsoft\Crypto\RSA\MachineKeys\」）中刪掉，讓用戶再也找不到。

簡單的說就是結合EFS加密文件（及文件夾）的特點，再讓加／解密密鑰消失。這麼一來，被勒索軟體加密的數據，只有黑客持有的私鑰才有辦法解密。

研究人員以市面上3家「知名」安全軟體，來測試他們的概念驗證（PoC）勒索軟體，結果3家都無法偵測到。之後他們聯繫17家殺毒和防勒索軟體廠商測試其PoC，許多也聲明失敗。這些企業現在也都更新了產品，以便加入偵測這種EFS勒索軟體的能力。

研究人員說，這突顯出安全防護技術必需要不斷演進，以因應不斷翻新的攻擊手法。Safebreach研究部門副總裁Aimt Klein指出，這種新手法不僅難以發現及防堵，而且還有可自動化執行，無需人力介入的優點。該公司表示，特徵檢測式（signature-based）技術無法防堵，啟發式（heuristic-based）或普遍特徵（generic-based）方案或許可以，但還需要以更先進研究協助訓練演算法。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！