Старые эксплойты в новых системах | Блог Касперского

Злоумышленники достаточно давно проводят атаки типа Living off the Land — то есть такие, в ходе которых для причинения вреда используются легитимные программы или функции операционной системы. Иногда нужных компонентов на компьютере не оказывается, и тогда преступники сами подгружают такие легитимные инструменты, которые можно проэксплуатировать.

Однако современные программы, которые можно использовать со злым умыслом, известны экспертам. Их вносят в списки подозрительных, и к их активности на защищаемом компьютере принято относиться с повышенным вниманием. Поэтому преступники придумали нечто новое: в ходе атаки они загружают на рабочий компьютер абсолютно легитимные, но сильно устаревшие компоненты Windows XP и сторонние программы, написанные под эту систему.

Living off the Land и уязвимые компоненты Windows XP

О применении этой новой тактики в ходе реальных атак рассказали на RSA Conference 2021 исследователи Жан-Йен Бутин и Зузанна Хромкова. В ходе изучения активности группы InvisiMole они обратили внимание на то, что оставаться «ниже радара» инструментам InvisiMole помогают именно файлы давно устаревшей операционной системы. Исследователи назвали эти файлы общим именем VULNBins, по аналогии с термином LOLBins, который часто используется в сообществе безопасников для файлов, используемых в атаках типа Living off the Land.

Разумеется, чтобы загрузить на компьютер устаревший файл, необходимо предварительно получить доступ к этому компьютеру. Но сами VULNBins используются не для проникновения в систему, а скорее для того, чтобы закрепиться в ней, оставаясь незамеченными. Злоумышленники из группы InvisiMole, промышляющие кибершпионажем, прикладывают немало сил для маскировки своей активности — им важно как можно дольше находиться в сети жертвы.

Конкретные примеры использования устаревших программ и системных компонентов

Одна из тактик, применяемая в случае, когда злоумышленникам не удалось получить администраторские права, подразумевает использование старого проигрывателя видеофайлов. Он имеет давно известную уязвимость, связанную с переполнением буфера. Через планировщик задач злоумышленники создают регулярно запускаемую задачу, которая вызывает проигрыватель. Его файл конфигурации модифицирован таким образом, чтобы эксплуатировать уязвимость. В результате с его помощью загружается код, необходимый для следующего этапа атаки.

Если же InvisiMole удается получить права администратора, то они могут прибегнуть к другому методу — использовать легитимный компонент системы setupSNK.exe, библиотеку Windows XP wdigest.dll и компонент Rundll32.exe (также в версии из старой системы), необходимый для ее исполнения. В ходе атаки они манипулируют данными, которые эта библиотека загружает в память. Поскольку она была написана до того, как начали применять технологию ASLR, атакующие знают точный адрес в памяти, куда она будет загружена.

Большая часть вредоносной нагрузки хранится в реестре в зашифрованном виде, а все используемые библиотеки и исполняемые файлы легитимны. Поэтому единственное, что выдает присутствие врага в системе — файл с настройками плеера в первом случае и небольшой эксплойт в реестре, обращающийся к устаревшим библиотекам — во втором. Как правило, этого недостаточно, чтобы вызвать подозрение у защитных систем, что позволяет атакующим, не привлекая внимания, надолго оставаться в системе.

Как оставаться в безопасности

Для того чтобы злоумышленники не могли использовать старые файлы и компоненты старых систем (особенно подписанные легитимным издателем), было бы неплохо иметь базу данных этих самых файлов. В таком случае их можно было бы блокировать существующими защитными механизмами или хотя бы отслеживать активность в случае, если по каким-то причинам заблокировать их нельзя. Но это дело будущего.

Пока такого списка нет, будет разумным использовать решение класса EDR. Это позволит делать следующее:

• Выявлять и блокировать запуск компонентов Windows, расположенных вне системной папки.
• Выявлять неподписанные системные файлы. Некоторые системные файлы подписываются не уникальной цифровой подписью, а каталоговым файлом. Если перенести такой файл в другую систему, где нужного файла .cat нет, то он будет считаться неподписанным.
• Создать правило, выявляющее разницу между версией ОС и версией каждого запускаемого файла.
• Создать аналогичное правило и для сторонних приложений — например, блокировать запуск файлов, скомпилированных более 10 лет назад.

Кроме того, повторимся: чтобы что-то загрузить на компьютер жертвы, злоумышленникам все-таки нужно сначала получить к нему доступ. Чтобы никакие VULNBins не попали на ваши рабочие станции, следует устанавливать защитные решения на все устройства, имеющие выход в Интернет, повышать осведомленность сотрудников о современных киберугрозах и тщательно контролировать инструменты для удаленного доступа.