Recentemente, il mio datore di lavoro ha bloccato l'accesso a Gmail, Yahoo Mail, ecc., perché un dipendente ha scaricato un allegato di posta elettronica che conteneva il ransomware e ha ottenuto la crittografia del proprio disco.
DOMANDA: In che modo il ransomware ottiene le autorizzazioni root / admin per crittografare il disco? Presumibilmente, la persona che lo ha scaricato doveva aver inserito la password di admin / root ad un certo punto.
Il ransomware non ottiene le autorizzazioni root / admin, perché non è necessario.
Non crittografa il disco oi file protetti dal sistema operativo (eseguibili, configurazione, credenziali), crittografa i file creati e archiviati dagli utenti (dati); e tutto ciò che è necessario fare è lo stesso livello di accesso degli utenti stessi.
Proprio come un utente crea un zip protetto da password ed elimina il file originale, così fa ransomware (tranne che mantiene la password in segreto e si assicura che il file originale sia realmente inaccessibile).
Questa è la ragione per cui il ransomware ha così tanto successo, che crittografa ciò che è più prezioso per utenti e aziende: il loro lavoro.
Mentre techraf ha la risposta corretta (che codifica solo i file dello spazio utente), volevo aggiungere che se voleva fare cose ad altre parti del tuo disco, lo farebbe allo stesso modo di altri malware ... tramite exploit.
Gli autori di malware possono trovare difetti nella progettazione del sistema operativo che consente ai programmi banali di raggiungere luoghi che non dovrebbero. Overflow del buffer, difetti IPC, incapsulamento scadente e semplici errori possono consentire ai programmi di entrare in posti che non dovrebbero. Questo è il motivo per cui è importante aggiornare regolarmente la macchina e mantenere aggiornati gli aggiornamenti di Windows. Anche il software anti-virus non sarà di aiuto se il sistema operativo da cui dipende ha un difetto che consente a un virus dietro di esso.
Questo è il motivo per cui è importante non usare più Windows XP ... questi difetti non sono più corretti man mano che vengono scoperti. I prodotti aggiuntivi di sicurezza come l'anti-virus non aiutano a proteggere da questi problemi, in quanto essi stessi sono solo processi guest nel sistema operativo che dipendono dalla sua funzionalità di sicurezza a basso livello per svolgere il proprio lavoro.
No, non è vero, il malware o il ransomware possono effettivamente fare il suo lavoro senza acquisire privilegi di amministratore come un normale utente.
Oltre a ciò, il malware o il ransomware utilizza exploit noti come quello degli exploit NSA che sono trapelati dal gruppo Shadow Brokers , allo stesso modo abbiamo esempi: il malware WannaCry che ha sorpreso il mondo con un numero enorme di computer infetti ha effettivamente sfruttato l'exploit Eternalblue che sfrutta la vulnerabilità nel Relè SMB Windows . Ora il ransomware ha continuato a crittografare i file preziosi dell'utente.
Rooting o gaining admin privileges part
Quindi, più spesso il ransomware punta principalmente a exploit conosciuti , quindi sì, anche io posso sviluppare un malware che può indirizzare i sistemi Windows non corretti e inoltre se voglio ottenere l'accesso come root eseguire qualcosa di più dannoso. Ad esempio, il mio amico e ricercatore SandboxEscaper ha rivelato un bug alpc LPE in Windows all'inizio di questa settimana , possiamo effettivamente implementarlo nel malware per ottenere l'escalation dei privilegi locali dopo aver scaricato un eseguibile o un malware sviluppiamo ed eseguiamo azioni più dannose sul sistema. Tuttavia, il rooting o l'ottenimento dei privilegi di amministratore non è sempre richiesto.
Bottom line: Ransomware utilizza specifici exploit conosciuti e per bersagliare un livello specifico di danno potrebbe anche incatenare bug Remote con LPE per ampliare il suo impatto ma, questo non è usuale dato che può crittografare i file con i normali privilegi utente
Leggi altre domande sui tag ransomware