Recientemente, mi empleador bloqueó el acceso a Gmail, Yahoo Mail, etc., porque un empleado descargó un archivo adjunto de correo electrónico que contenía ransomware y cifró su disco.
PREGUNTA: ¿Cómo obtiene el ransomware los permisos de root / admin para cifrar su disco? Presumiblemente, la persona que lo descargó tuvo que haber ingresado la contraseña de administrador / root en algún momento.
Ransomware no obtiene permisos de administrador / raíz, porque no es necesario.
No encripta el disco o los archivos protegidos por el sistema operativo (ejecutables, configuración, credenciales), encripta los archivos creados y almacenados por los usuarios (datos); y todo lo que requiere para hacerlo, es el mismo nivel de acceso que los propios usuarios.
Al igual que un usuario crearía un archivo zip protegido con contraseña y eliminaría el archivo original, también lo hace el ransomware (excepto que mantiene la contraseña en secreto y se asegura de que el archivo original sea realmente inaccesible).
Esa es la razón principal por la que el ransomware es tan exitoso, encripta lo que es más valioso para los usuarios y las empresas: su trabajo.
Si bien Techraf tiene la respuesta correcta (que solo encripta los archivos del espacio del usuario), quise agregar que si quisiera hacer cosas en otras partes de su disco, lo haría de la misma manera que otros programas maliciosos. ... a través de exploit.
Los autores de malware pueden encontrar fallas en el diseño del sistema operativo que permiten que los programas mundanos lleguen a lugares donde no deberían. Los desbordamientos de búfer, las fallas de IPC, la mala encapsulación y los errores simples pueden hacer que los programas lleguen a lugares donde no deberían. Esta es la razón por la cual es importante parchear su máquina regularmente y mantener actualizadas las Actualizaciones de Windows. Incluso el software antivirus no ayudará si el sistema operativo del que depende tiene una falla que permite que haya un virus detrás.
Esta es la razón por la que es importante no usar más Windows XP ... estas fallas ya no se solucionan a medida que se descubren. Los productos complementarios de seguridad como el antivirus no ayudan a proteger contra estos problemas, ya que ellos mismos son simplemente procesos invitados en el sistema operativo que dependen de su funcionamiento de seguridad de bajo nivel para realizar su trabajo.
No, no realmente, el malware o el ransomware pueden hacer su trabajo sin tener privilegios de administrador como un usuario normal.
Aparte de eso, el malware o ransomware usa exploits conocidos como el de NSA exploits que se filtró por el grupo Shadow Brokers , Del mismo modo, tenemos ejemplos: el malware WannaCry que sorprendió al mundo con una gran cantidad de computadoras infectadas en realidad explotó la vulnerabilidad Eternalblue que hace uso de la vulnerabilidad en SMB Relay de Windows . Ahora el ransomware pasó a cifrar los archivos valiosos del usuario.
Rooteando u obteniendo parte de privilegios de administrador
Entonces, más a menudo el ransomware apunta principalmente a vulnerabilidades conocidas , así que sí, incluso puedo desarrollar un malware que pueda atacar sistemas Windows sin parches y más si quiero obtener acceso de root a Realizar algo más malicioso. Por ejemplo, mi amigo e investigador SandboxEscaper reveló un alpc LPE bug en Windows a principios de esta semana , podemos implementarlo en el malware para obtener Escalamiento de privilegios locales después de hacer que un usuario descargue un ejecutable o malware. Desarrollamos y realizamos más acciones maliciosas en el sistema. Pero no siempre es necesario rootear o obtener privilegios de administrador.
Línea inferior: Ransomware usa exploits conocidos específicos y para apuntar a un nivel específico de daño también podría encadenar errores remotos con LPE para ampliar su impacto, pero esto no es habitual ya que puede cifrar archivos con privilegios de usuario normales
Lea otras preguntas en las etiquetas ransomware