Ataki bez dotykania dysku (ang. Living off the Land, LotL) w których wykorzystywane są legalne programy lub funkcje systemu operacyjnego, nie są niczym nowym. Ponieważ jednak eksperci śledzą nowoczesne oprogramowanie podatne na ataki LotL, cyberprzestępcy muszą wprowadzać w swoich działaniach innowacje. Podczas konferencji RSA Conference 2021 badacze Jean-Ian Boutin i Zuzana Hromcowa opowiedzieli o jednej z takich nowości polegającej na wykorzystywaniu legalnych składników i programów systemu Windows XP.
Atak „Living off the Land” i podatne na zagrożenia komponenty systemu Windows XP
Badając aktywność grupy InvisiMole, Boutin i Hromcova zauważyli, że korzysta ona z plików dla dawno przestarzałego systemu operacyjnego, dzięki czemu pozostaje w ukryciu. Badacze nadali tym plikom ogólną nazwę VULNBins, podobną do nazwy LOLBins, którą społeczność skupiona wokół bezpieczeństwa stosuje do plików używanych w tego typu atakach.
Oczywiście pobranie przestarzałego pliku na komputer ofiary wymaga fizycznego dostępu do niego. Jednak pliki VULNBins są zazwyczaj używane do tego, aby pozostawały w systemie docelowym niezauważone, a nie w celu rzeczywistej penetracji.
Przykłady używania przestarzałych programów i komponentów systemu
Jeśli osobie atakującej nie uda się uzyskać uprawnień administratora, może na przykład użyć starego odtwarzacza wideo ze znanym błędem polegającym na przepełnianiu bufora. W narzędziu „Harmonogram zadań” cyberprzestępcy tworzą zaplanowane zadanie uruchamiające odtwarzacz, którego plik konfiguracyjny został zmodyfikowany tak, aby za pośrednictwem tej luki w zabezpieczeniach ładował kod potrzebny podczas następnego etapu ataku.
Jeśli jednak atakującemu uda się uzyskać prawa administratora, może wykorzystać legalny komponent systemu setupSNK.exe, bibliotekę Windows XP o nazwie wdigest.dll, a także plik Rundll32.exe (również z przestarzałego systemu), niezbędne do uruchomienia wspomnianej biblioteki. Następnie zmienia dane, które biblioteka ładuje do pamięci. Ponieważ biblioteka ta jest tworzona przed zastosowaniem technologii ASLR, cyberprzestępcy znają dokładny adres pamięci, w którym zostanie ona załadowana.
Większość złośliwego ładunku jest przechowywana w rejestrze w postaci zaszyfrowanej, a wszystkie wykorzystywane biblioteki i pliki wykonywalne są legalne. W związku z tym obecność wroga w systemie zdradza jedynie plik z ustawieniami odtwarzacza i mały exploit, który jest związany z przestarzałymi bibliotekami. Z reguły to nie wystarczy, aby wzbudzić podejrzenia systemu odpowiedzianego za bezpieczeństwo.
Jak zachować bezpieczeństwo
Aby uniemożliwić cyberprzestępcom korzystanie ze starszych plików i przestarzałych komponentów systemu (zwłaszcza tych podpisanych przez legalnego wydawcę), warto posiadać bazę danych takich plików. Dzięki niej istniejące zabezpieczenia będą mogły zablokować lub przynajmniej zidentyfikować je (jeśli z jakiegoś powodu blokowanie nie jest możliwe). Jednak na tę chwilę jest to melodia przyszłości.
Dopóki taka lista nie istnieje, użyj naszego rozwiązania klasy EDR, aby:
- Wykrywać i blokować uruchamianie komponentów systemu Windows znajdujących się poza folderem systemowym.
- Identyfikować niepodpisane pliki systemowe (niektóre pliki systemowe są podpisane za pomocą pliku katalogu zamiast unikatowego podpisu cyfrowego, ale plik systemowy przeniesiony do systemu, który nie ma wymaganego pliku .cat, jest uważany za niepodpisany).
- Utworzyć regułę wykrywania różnicy między wersją systemu operacyjnego a wersją każdego pliku wykonywalnego.
- Utworzyć podobną regułę dla innych aplikacji — na przykład blokowania uruchamiania plików skompilowanych ponad 10 lat temu.
Jak już wspomnieliśmy, aby pobrać coś na komputer ofiary, atakujący muszą najpierw uzyskać do niego dostęp. Aby zapobiec przedostawaniu się plików VULNBins na komputery, zainstaluj rozwiązanie zabezpieczające na wszystkich urządzeniach z dostępem do internetu, zwiększ świadomość pracowników w kwestii współczesnych zagrożeń cybernetycznych i uważnie monitoruj narzędzia dostępu zdalnego.