Le ransomware WastedLocker abuse d’une fonction de gestion de la mémoire Windows pour échapper à la détection par un logiciel de sécurité.

Avant d’en arriver à la façon dont WastedLocker échappe à la détection, il est nécessaire de comprendre comment les solutions anti-ransomware détectent les ransomwares.

Les solutions anti-ransomware surveilleront le système d’exploitation pour les appels de système de fichiers traditionnellement utilisés par les ransomwares lors du chiffrement d’un fichier.

Dans le cadre des solutions anti-ransomware, le logiciel de sécurité enregistrera un pilote de minifiltre qui lui permettra de surveiller les appels système qui interagissent avec un système de fichiers en temps réel.

Si ce pilote détecte un processus inconnu effectuant de nombreuses opérations séquentielles ouvrant un fichier, y écrivant, puis fermant le fichier, une détection comportementale sera déclenchée et le processus incriminé sera interrompu.

Cette méthode de détection comportementale sacrifie essentiellement quelques fichiers pour détecter un comportement malveillant et empêcher le reste du lecteur d’être chiffré.

WastedLocker utilise Windows Cache Manager

Au cours des dernières semaines, le WastedLocker Ransomware est devenu notoire après avoir été attribué au groupe de piratage sanctionné Evil Corp et utilisé pour attaquer Garmin.

Dans un nouveau rapport partagé avec BleepingComputer avant la publication, les chercheurs en sécurité de Sophos expliquent comment WastedLocker utilise le gestionnaire de cache Windows pour échapper à la détection.

Pour augmenter les performances de Windows, les fichiers couramment utilisés ou les fichiers spécifiés par une application sont lus et stockés dans le cache Windows, qui utilise la mémoire système.

Si un programme a besoin d’accéder à un fichier, le système d’exploitation vérifiera s’il se trouve dans le cache et, le cas échéant, le chargera à partir de là. Comme les données sont mises en cache dans la mémoire, il est beaucoup plus rapide d’accéder à son contenu que de le lire à partir d’un lecteur de disque.

Pour contourner la détection par les solutions anti-ransomware, WastedLocker inclut une routine qui ouvre un fichier, le lit dans le gestionnaire de cache Windows, puis …

Voir la source de cette publication