Недавно «Лаборатория Касперского» обнаружила новый тип вируса-вымогателя ShrinkLocker, которая использует функцию безопасности BitLocker в Windows. Вредоносный скрипт блокирует доступ к данным владельца устройства и требует за разблокировку выкуп. Специалисты «Касперского» дали рекомендации, как избежать блокировки своих данных.

Источник изображения: Copilot

BitLocker является средством шифрования дисков, которое впервые появилось в Windows Vista в 2007 году. Функция используется для шифрования целых томов, чтобы предотвратить несанкционированный доступ к данным в случае физического доступа к диску. Начиная с Windows 10, BitLocker по умолчанию работает с 128-битным и 256-битным алгоритмом шифрования XTS-AES, который обеспечивает дополнительную защиту от атак, основанных на манипулировании зашифрованными данными.

Случаи использования ShrinkLocker для шифрования систем были зафиксированы в Мексике, Индонезии и Иордании. Смысл атаки заключается в уменьшении размера каждого логического диска на 100 Мбайт с последующим созданием новых разделов такого же размера из высвободившегося пространства — отсюда и название ShrinkLocker.

По словам специалистов, злоумышленники постоянно совершенствуют свои методы, чтобы избежать обнаружения. В данном случае они воспользовались легитимной функцией шифрования для блокировки доступа к файлам пользователей. К слову, это не первый случай использования BitLocker вредоносными программами. Как пишет издание Arstechnica, в 2022 году сообщалось об иранских вымогателях, которые также применяли этот инструмент для шифрования. В том же году российская компания «Мираторг» подверглась атаке локера, зашифровавшего все файлы при помощи BitLocker.

После запуска на устройстве ShrinkLocker выполняет скрипт на VisualBasic, который с помощью WMI собирает информацию об операционной системе и аппаратной платформе. Если обнаруживаются устаревшие Windows XP, 2000, 2003 или Vista — скрипт автоматически завершается. Далее выполняются операции по изменению размеров дисков с учетом версии Windows. При этом сетевые диски игнорируются, чтобы не спровоцировать реакцию систем защиты.

Заключительным этапом атаки является отключение встроенных в BitLocker средств восстановления ключа шифрования и установка числового пароля. Это делается для того, чтобы заблокировать доступ законного владельца к зашифрованным данным. Далее генерируется уникальный 64-значный пароль при помощи случайного алгоритма на основе цифр, букв и специальных символов. После перезагрузки пользователь видит требование ввести этот пароль для расшифровки дисков.

Восстановление данных без ключа шифрования крайне затруднительно, так как алгоритм генерации пароля уникален для каждой атакованной системы. Специфических средств защиты от ShrinkLocker пока не разработано. «Лаборатория Касперского» советует следующее:

• Включить регистрацию и мониторинг сетевого трафика, настроить ведение журнала запросов GET и POST, так как в случае заражения, запросы к домену злоумышленника могут содержать пароли или ключи.
• Отслеживать события, связанные с выполнением VBS и PowerShell, затем сохранять зарегистрированные сценарии и команды во внешнем репозитории.
• Использовать надежные пароли и двухфакторную аутентификацию там, где это возможно.
• Регулярно делать резервные копии важных данных.

Кроме того, антивирусное программное обеспечение может помочь в обнаружении и блокировке подобных атак на ранних стадиях.

Недавно стало известно об уязвимости BitLocker — гипотетический злоумышленник может перехватывать ключи шифрования при помощи недорогого одноплатного компьютера Raspberry Pi Pico ценой меньше $5. В качестве примера использовался десятилетний ноутбук, и это дало повод предположить, что современные модели уязвимости не подвержены. Как выяснилось, даже современные лэптопы 2023 года под управлением Windows 11 всё ещё могут взламываться схожим образом.

Источник изображения: lenovo.com

Процесс получения ключа шифрования за минувшие десять лет немного усложнился, но принципиальный способ остался прежним — это перехват данных, которые транслируются по незашифрованным каналам от процессора к дискретному чипу TPM (Trusted Platform Module). Исследователь вопросов безопасности Стью Кеннеди (Stu Kennedy) создал на GitHub страницу, где перечислены модели ноутбуков с подтверждённой уязвимостью из-за выделенного чипа TPM, включая Lenovo X1 Carbon, Dell Latitude E5470 и Microsoft Surface Pro 3 с чипами TPM 2.0. Для осуществления атаки используются шины SPI, I2C или LPC.

Следует отметить, что этот метод атаки срабатывает только при наличии у злоумышленника физического доступа к компьютеру — удалённо перехватить ключ шифрования не получится. Чтобы защититься, можно выбрать и дополнительные меры, например использовать пароль при запуске или воспользоваться USB-ключом. Ключ шифрования BitLocker сохраняется на чипе TPM по умолчанию — в настройках системы предпочитаемый метод можно изменить. Кроме того, многие современные чипы Intel и AMD располагают встроенным TPM, а значит, перехватить его данные при обмене с процессором уже не получится.

BitLocker — одно из наиболее доступных и популярных сегодня решений в области шифрования данных. Это встроенная функция Windows 10 Pro и 11 Pro, но её слабым местом является выделенный чип TPM (Trusted Platform Module) на материнской плате, данные которого можно быстро перехватить при помощи одноплатного компьютера Raspberry Pi Pico с ценником менее $5.

Источник изображения: youtube.com/@stacksmashing

На некоторых системах процессор обменивается ключом шифрования диска с чипом TPM по шине LPC, и этот ключ передаётся без шифрования, что позволяет злоумышленнику перехватывать критически важные данные между двумя компонентами. Гипотезу решили подтвердить при помощи ноутбука Lenovo десятилетней давности — нечто подобное можно было бы реализовать и на некоторых более современных машинах, но для перехвата трафика шины LPC, возможно, потребовалось бы больше усилий.

В данном случае информация с шины LPC оказалась доступной через свободный разъем. Автор опыта построил недорогое устройство на базе Raspberry Pi Pico, которое смогло подключаться к этому разъёму, соприкасаясь с ним контактами. Недорогой одноплатный компьютер запрограммировали на считывание последовательности единиц и нулей с частотой 25 МГц, то есть каждые 40 нс.

Результат оправдал ожидания: Raspberry Pi Pico успешно считал у TPM ключ шифрования диска. Накопитель с зашифрованным системным диском Windows подключили к машине под Linux, ввели полученный ключ шифрования и открыли доступ ко всем файлам и папкам на диске. Автор проекта засёк время на секундомере и повторил свой опыт — он вскрыл компьютер и считал ключ менее чем за 43 с.

Следует отметить, что этот способ взлома работает только на материнских платах с выделенным чипом TPM. Функции этого чипа встраиваются в современные процессоры Intel и AMD и реализуются программно через fTPM (Firmware TPM) — в этом случае взлом с помощью Raspberry Pi Pico не сработает.