Sophos chwali się odkryciem nowej metody automatyzacji ataków
Badacze z firmy Sophos opublikowali niedawno szczegóły analizy nowych metod dystrybucji złośliwego oprogramowania i automatyzacji infekcji. Nie przeczytamy tam o żadnej przełomowej, rewolucyjnej drodze infekcji, a raczej o nieustającej ewolucji rozwiązań stosowanych w wirusach już od wielu lat. Metody ochrony przed nimi pozostają takie same. I podobnie nie zawsze są możliwe do wdrożenia. Toteż malware staje się coraz skuteczniejszy w ukrywaniu swojej obecności.
Malware opisywany przez Sophos korzysta ze skryptów PowerShella. Ponieważ coraz więcej administratorów wyłącza obsługę skryptów dla użytkowników (jeżeli w ogóle była kiedykolwiek włączona w domenie), kontrola wykorzystania PowerShella opiera się na analizowaniu logów pod kątem wywołania programu powershell.exe. Administratorzy stosują zatem SRP celem zablokowania uruchomienia owego programu. Dlatego twórcy malware… dostarczają własną kopię, o innej nazwie i w innym katalogu. Omija to ograniczenia oraz pozwala ukryć się w logach.
Zaszłości historyczne i świeże pomysły
Powyższy problem pokazuje sposób myślenia na temat zabezpieczeń, który umierał w Microsofcie znacznie dłużej, niż powinien. Zasady Grupy dotyczące Hosta Skryptów oraz PowerShella były niezwykle naiwne: poprawnie wdrożony mechanizm zabezpieczeń powinien blokować interpreter skryptów niezależnie od jego lokalizacji, nazwy i wersji. "W dawnych czasach" jednak zabezpieczenia Windows nie wyglądały w ten sposób. Efektywnie, blokowały one jedynie akcesoria systemowe, a nie funkcje, które one realizowały. Na przykład, to nie edycja rejestru mogła zostać zablokowana, a edytor. Obecnie nie da się tego odkręcić, ze względu na zachowanie zgodności.
Z biegiem czasu, znacznej rozbudowie uległo także wykrywanie podejrzanych pobrań z domen kupionych na tydzień za złotówkę. Dystrybucja oprogramowania przez HTTP do serwerów w domenach .top, .icu, .flowers i .club stała się znacznie trudniejsza, więc payload jest dostarczany inaczej. Sophos opisuje pobieranie złośliwego kodu z komórki udostępnionego arkusza Google Sheets (!), co pozwala nie dotykać zarówno podejrzanych domen, jak i Excela.
Znikąd pomocy
Z racji zmian w Defenderze i utrudnionym wyłączeniu go, malware rejestruje debuger, zdobywa przywilej czytania cudzej pamięci i podmienia obraz RAM skanera antywirusowego. Defender pozostaje więc "włączony", ale bezzębny. Ochrona "Tampering Protection" nie chroni obecnie przed tą metodą ataku.
Zbadane przez Sophos wirusy oczekiwały konkretnego oprogramowania zainstalowanego na końcówkach, co oznacza że był to atak kierowany. Nowości zastosowane w nim już wkrótce zapewne pojawią się także w innych kampaniach.