Zastosowane w rozwiązaniu Kaspersky Endpoint Security for Business technologie wykrywania zagrożeń na podstawie zachowania oraz ochrony przed exploitami zidentyfikowały falę ukierunkowanych ataków na firmy. Ataki te wykorzystywały exploity dnia zerowego dla luk w zabezpieczeniach przeglądarki Google Chrome i systemu Microsoft Windows. Stosowne poprawki są już dostępne (firma Microsoft udostępniła je 8 czerwca), dlatego wszystkim zalecamy aktualizację zarówno przeglądarki, jak i systemu operacyjnego. Ugrupowanie stojące za tym zagrożeniem nazwaliśmy PuzzleMaker.
Dlaczego ataki ugrupowania PuzzleMaker są niebezpieczne?
Osoby atakujące wykorzystują lukę w zabezpieczeniach przeglądarki Google Chrome, aby uruchomić na maszynie docelowej złośliwy kod, a także korzystają z dwóch luk w zabezpieczeniach systemu Windows 10, aby wydostać się z „piaskownicy” i uzyskać uprawnienia systemowe. Zaczynają od przesłania na maszynę ofiary pierwszego modułu szkodliwego oprogramowania wraz z dostosowanym blokiem konfiguracyjnym (adres serwera poleceń, identyfikator sesji, klucze służące do odszyfrowywania następnego modułu itp.).
Moduł ten powiadamia atakujących o udanej infekcji, a następnie pobiera i odszyfrowuje moduł droppera, który z kolei instaluje dwa pliki wykonywalne, udające legalne. Pierwszy z nich, WmiPrvMon.exе, rejestruje się jako usługa i uruchamia drugi, wmimon.dll — to on pełni najważniejszą szkodliwą funkcję w ataku, występując pod przykrywką powłoki zdalnej.
Atakujący używają tej powłoki, aby zdobyć pełną kontrolę nad maszyną docelową. Mogą oni przesyłać i pobierać pliki, tworzyć procesy, wprowadzać tryb hibernacji na określony czas, a nawet usuwać z maszyny jakiekolwiek ślady ataku. Ten składnik złośliwego oprogramowania komunikuje się z serwerem poleceń za pośrednictwem połączenia szyfrowanego.
O które exploity i luki w zabezpieczeniach chodzi?
Niestety nasi eksperci nie byli w stanie przeanalizować exploita zdalnego uruchamiania kodu PuzzleMaker, który był używany do ataku na Google Chrome, ale zakończyli skrupulatną analizę i stwierdzili, że napastnicy wykorzystali prawdopodobnie lukę w zabezpieczeniach CVE-2021-21224. Jeśli chcesz wiedzieć, jak i dlaczego doszli do tego wniosku, ich tok rozumowania znajdziesz w tym poście w serwisie SecureList. 20 kwietnia 2021 r. Google wydało poprawkę na tę lukę, niecały tydzień po tym, gdy odkryliśmy opisywaną falę ataków.
Exploit, którego celem jest podniesienie uprawnień, wykorzystuje dwie luki w zabezpieczeniach systemu Windows 10 jednocześnie. Pierwsza z nich, CVE-2021-31955, jest luką w zabezpieczeniach pliku ntoskrnl.exe. Exploit ten wykorzystuje ją do określania adresów jądra struktury EPROCESS dla wykonywanych procesów. Druga luka, CVE-2021-31956, znajduje się w sterowniku ntfs.sys i należy do klasy przepełnienia sterty. Oszuści używali jej wraz z mechanizmem powiadomień Windows Notification Facility do odczytywania i zapisywania danych w pamięci. Ten exploit działa na większości popularnych kompilacji systemu Windows 10: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) oraz 19042 (20H2). Kompilacja 19043 (21H1) również jest podatna to zagrożenie, chociaż nasze technologie nie wykryły ataków na tę wersję, która została wydana po wykryciu ataków ugrupowania PuzzleMaker. W serwisie SecureList opublikowaliśmy post zawierający szczegółowy opis techniczny wraz ze wskaźnikami włamania.
Jak zapewnić sobie ochronę przed tym i podobnymi atakami
Aby chronić bezpieczeństwo firmy przed exploitami używanymi w atakach PuzzleMaker, w pierwszej kolejności zaktualizuj Chrome i zainstaluj (ze strony internetowej firmy Microsoft) poprawki dla systemu operacyjnego, które eliminują luki w zabezpieczeniach CVE-2021-31955 i CVE-2021-31956.
Aby eliminować zagrożenie ze strony innych luk w zabezpieczeniach typu dnia zerowego, firmy — bez względu na swój charakter — muszą używać produktów cyberbezpieczeństwa, które potrafią wykrywać opisywane tu próby wykorzystania, analizując podejrzane zachowanie. Na przykład nasze produkty wykryły ten atak przy użyciu technologii Wykrywanie zachowania oraz podsystemu Ochrona przed exploitami, dostępnych w produkcie Kaspersky Endpoint Security for business.