Comment le ransomware obtient-il les autorisations pour crypter votre disque?
Récemment, mon employeur a bloqué l'accès à Gmail, Yahoo Mail, etc., car un employé a téléchargé une pièce jointe contenant un rançongiciel et a crypté son disque.
QUESTION: Comment le ransomware obtient-il les autorisations root/admin pour crypter votre disque? Vraisemblablement, la personne qui l'a téléchargé devait avoir entré le mot de passe administrateur/root à un moment donné.
Le ransomware ne dispose pas des autorisations root/admin, car il n'en a pas besoin.
Il ne crypte pas le disque ou les fichiers protégés par le système d'exploitation (exécutables, configuration, informations d'identification), il crypte les fichiers créés et stockés par les utilisateurs (données); et tout ce qu'il faut pour cela, c'est le même niveau d'accès que les utilisateurs eux-mêmes.
Tout comme un utilisateur créerait un Zip protégé par mot de passe et supprimerait le fichier d'origine, le ransomware aussi (sauf qu'il garde le mot de passe secret et s'assure que le fichier d'origine est vraiment inaccessible).
C'est la raison pour laquelle le ransomware connaît un tel succès qu'il crypte ce qui est le plus précieux pour les utilisateurs et les entreprises: leur travail.
Bien que techraf ait la bonne réponse (qu'il ne chiffre que les fichiers de l'espace utilisateur), je voulais ajouter que s'il voulait faire des choses sur d'autres parties de votre disque, il le ferait de la même manière que certains autres logiciels malveillants ... via exploit.
Les auteurs de logiciels malveillants peuvent trouver des failles dans la conception du système d'exploitation qui permettent aux programmes banals d'atteindre les endroits où ils ne devraient pas. Les débordements de tampon, IPC défauts, encapsulation médiocre et erreurs simples peuvent permettre aux programmes d'entrer dans des endroits où ils ne devraient pas. C'est pourquoi il est important de patcher votre machine régulièrement et de les conserver Mises à jour actuelles de Windows. Même un logiciel antivirus n’aidera pas si le système d’exploitation dont il dépend a une faille qui laisse un virus derrière lui.
C'est pourquoi il est important de ne plus utiliser Windows XP (et Windows 7 après l'année prochaine) ... ces failles ne sont plus corrigées au fur et à mesure de leur découverte. Produits complémentaires de sécurité comme anti -virus n'aide pas à protéger contre ces problèmes, car ils ne sont eux-mêmes que des processus invités du système d'exploitation qui dépendent de sa sécurité de bas niveau pour faire leur travail.
Non pas vraiment, le malware ou le ransomware peut réellement faire son travail sans obtenir les privilèges d'administrateur comme un utilisateur ordinaire.
En dehors de cela, le malware ou le ransomware utilise exploits connus comme celui des exploits NSA qui ont été divulgués par le Groupe Shadow Brokers , nous avons également des exemples - le malware WannaCry qui a pris le monde par surprise avec un grand nombre d'ordinateurs infectés a effectivement exploité le Eternalblue = exploit qui utilise une vulnérabilité dans le Windows SMB Relay . Maintenant, le ransomware a continué à crypter l'utilisateur fichiers précieux.
Enracinement ou obtention d'une partie des privilèges d'administrateur
Donc, le plus souvent, les ransomwares ciblent principalement les exploits connus , donc oui même je peux développer un malware qui peut cibler Windows non corrigé systèmes et plus encore si je veux obtenir un accès root pour effectuer quelque chose de plus malveillant. Par exemple, mon ami et collègue chercheur SandboxEscaper a révélé un bogue alpc LPE dans Windows plus tôt cette semaine , nous pouvons réellement l'implémenter dans le malware pour gagner Local Escalade de privilèges après avoir fait télécharger un exécutable ou un malware par un utilisateur, nous développons et effectuons des actions plus malveillantes sur le système. Mais rooter ou obtenir des privilèges d'administrateur n'est pas toujours requis.
Bottom line: Ransomware utilise des exploits connus spécifiques et pour cibler un niveau spécifique de dommages pourrait aussi bien enchaîner les bogues distants avec LPE pour élargir son impact mais, ce n'est pas pas habituel car il peut crypter des fichiers avec des privilèges utilisateur normaux