Компания Elastic Security Labs раскрыла множество методов, доступных злоумышленникам, желающим запускать вредоносные приложения, не вызывая предупреждений системы безопасности Windows, включая один, который используется уже шесть лет.
Исследование было сосредоточено на способах обхода Windows SmartScreen и Smart App Control (SAC), встроенных защит от запуска потенциально опасного программного обеспечения, загруженного из Интернета в Windows 8 и 11 соответственно.
Среди методов, обнаруженных Джо Десимоном, техническим руководителем Elastic, был один, который он назвал «LNK Stomping» — ошибка в способе обработки файлов ярлыков Windows (.LNK), которая аннулирует Mark of the Web (MotW) Windows — цифровую метку, размещаемую на загруженных файлах, которая может оказаться вредоносной при запуске.
SmartScreen сканирует только файлы, помеченные MotW, а SAC настроен на блокировку определенных типов файлов, если они помечены, поэтому любой метод, который может обойти MotW, естественно, станет благом для злоумышленников, создающих вредоносные программы.
Это далеко не первый метод обхода MotW, представленный за эти годы, но тот факт, что он используется так долго и, как сказал Десимон, его «просто» эксплуатировать, заставляет защитников потратить некоторое время на то, чтобы понять, как он работает.
Но это все, что предлагается на данный момент: понимание. Исследователь сказал, что Elastic обратилась к Microsoft с просьбой о смягчении, и технологический гигант сказал, что это может быть исправлено позже – никаких обещаний по исправлению здесь нет.
Эта «тривиальная» техника включает в себя создание LNK-файлов с нестандартными целевыми путями или внутренними структурами. Это заставляет Windows Explorer исправлять эти небольшие ошибки перед запуском вредоносного приложения, но в процессе исправления этих ошибок MotW удаляется, что означает, что SmartScreen и SAC не помечают его как вредоносное.
Десимоне сказал, что самый простой способ вызвать эту ошибку — просто добавить точку или пробел где-нибудь в пути к целевому исполняемому файлу. Подойдет что-то вроде target.exe., как и .target.exe, например.
Затем проводник Windows распознает ошибку в целевом пути и ищет настоящий исполняемый файл, исправляет целевой путь и обновляет файл, который, в свою очередь, удаляет MotW.
«Мы обнаружили несколько образцов в VirusTotal, которые демонстрируют ошибку, демонстрируя существующее в дикой природе использование», — сказал Десимоне. «Самый старый обнаруженный образец был отправлен более шести лет назад.
«Мы также раскрыли подробности ошибки MSRC. Она может быть исправлена в будущем обновлении Windows. Мы публикуем эту информацию вместе с логикой обнаружения и мерами противодействия, чтобы помочь защитникам идентифицировать эту активность до тех пор, пока не будет выпущено исправление».
В то же время специалистам по безопасности рекомендуется скорректировать свою технологию обнаружения в соответствии с пробелами в покрытии, которые демонстрируют SmartScreen и SAC.
Другие обходы
SmartScreen и SAC — это средства защиты, основанные на репутации, и исторически проверенный, но сложный в реализации метод их обхода заключался в подписании вредоносного приложения с помощью сертификата подписи кода.
Теоретически их должно быть сложно получить, учитывая, что центры сертификации должны выдавать их только законным предприятиям, хотя это все еще вполне жизнеспособная практика.
Десимоне также выделил ряд других методов обхода защиты, основанной на репутации, включая технику, которую он назвал «перехват репутации», которая заключается в выявлении существующей программы с хорошей репутацией и вмешательстве в ее работу со злым умыслом.
Исследователь сказал, что скриптовые хосты идеально подходят для такого рода атак, хотя любое приложение, которое управляется без каких-либо общих параметров строки, подойдет. Если оно включает возможность интерфейса внешних функций (FFI), еще лучше, потому что это можно использовать для загрузки плохого кода в память. Интерпретаторы Lua, Node.js и AutoHotkey являются идеальными целями для повторного использования, сказал он.
Похоже, что Reputation Seeding лучше всего работает с SAC. SmartScreen устанавливает более высокий порог, прежде чем доверять приложению, сказал Десимоне. Эта атака заключается в том, что злоумышленник сбрасывает двоичный файл, который кажется заслуживающим доверия, но может быть использован позже, например, при выполнении определенных условий. Он также может содержать уязвимость, которую злоумышленник может использовать позже, например.
Наконец, Десимоне сказал, что Reputation Tampering также является вариантом. Этот метод подразумевает осторожное изменение определенных разделов кода приложений, которые SAC считает безвредными, таким образом, чтобы обеспечить поддержку для атаки, при этом сохраняя их безвредную репутацию.
«Методом проб и ошибок мы смогли определить сегменты, которые можно было безопасно подделать и сохранить ту же репутацию. Мы создали один поддельный двоичный файл с уникальным хешем, который никогда не видели Microsoft или SAC. Он встраивал шелл-код «execute calc» и мог быть выполнен с помощью SAC в принудительном режиме», — сказал технический руководитель Elastic. ®