Seorang peneliti dengan nama HEB-3linx telah menemukan bahwa beberapa strain ransomware yang paling populer, seperti Conti, revel, lockbit, termasuk banyak lainnya, membawa cacat yang membuat mereka rentan terhadap pembajakan DLL.
Dengan mengeksploitasi kekurangan tersebut, peneliti dapat mencegah ransomware menawarkan enkripsi file penjualan utama.
Seperti yang saya sebutkan sebelumnya Plebingcomputer, Dll hijacking biasanya digunakan untuk menyuntikkan kode berbahaya ke dalam aplikasi yang sah. Namun, untuk jenis ransomware ini, peneliti membuat bukti konsep, dan merekam presentasi video yang menunjukkan bagaimana hal itu dilakukan.
Pembajakan DL
Pembajakan dll mengeksploitasi bagaimana aplikasi mencari dan memuat memori dalam file Dynamic Link Library (DLL). Program yang tidak memiliki cukup pemeriksaan dapat memuat DLL dari jalur di luar direktorinya, pada dasarnya mengangkat hak istimewa dan memungkinkan eksekusi kode arbitrer.
Dalam hal ini, peneliti membuat kode unik dan menyusunnya menjadi DLL Dengan Nama yang akrab dengan ransomware. Penting juga, seperti yang ditekankan oleh peneliti, bahwa DLL ditempatkan di tempat di mana operator ransomware biasanya menempatkan dan menjalankan malware mereka sendiri, seperti lokasi jaringan dengan data master.
Itu akan membunuh ransomware pada awalnya.
Apa yang membuat metode ini bahkan lebih mematikan adalah kenyataan bahwa itu tidak dapat diklasifikasikan sebagai solusi keamanan dan, dengan demikian, tidak dapat dilewati dengan cara yang strain ransomware biasanya melampaui perangkat lunak antivirus dan solusi cybersecurity lainnya.
Pertanyaan besarnya adalah-berapa lama ukuran mitigasi ini akan bertahan? Operator Ransomware sering memperbarui dan meningkatkan produk mereka, dan jika ini adalah cacat yang baru ditemukan, mungkin hanya masalah waktu sebelum diperbaiki.
Sayangnya, operator ransomware sangat cepat dan rajin, dan kita dapat mengharapkan lubang untuk dihubungkan lebih cepat daripada nanti.
Melalui: plibingcomputer
