Техника atom bombing
Обновлено: 28.06.2024
Вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.
Специалисты компании enSilo описали новый метод внедрения вредоносного кода в легитимные процессы Windows, позволяющий обойти современные решения безопасности.
Техника, получившая название AtomBombing, основана на использовании таблиц атомов, в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений. Поскольку таблицы являются общедоступными, любое приложение может модифицировать содержащиеся в них данные.
По словам исследователей, вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.
«Многие решения безопасности полагаются на списки доверенных процессов. Атакующий может внедрить вредоносный код в один из процессов и таким образом обойти защиту», - пояснил аналитик enSilo Тал Либерман (Tal Liberman).
Применение техники AtomBombing позволяет вредоносному ПО осуществить MitB-атаки, делать снимки экрана, перехватывать зашифрованные пароли и производить любые действия, которые может выполнять легитимное доверенное приложение.
Атака AtomBombing работает на всех версиях Windows. Особенность техники заключается в использовании базовых механизмов операционной системы, что затрудняет создание патча, поскольку для этого потребуется переработка ОС. По мнению экспертов, единственным способом предотвратить подобные атаки станет отслеживание вызовов API на предмет любых вредоносных изменений.
Несколько дней назад эксперт по безопасности Тал Либерман из компании enSilo показал новую технику внедрения кода, которая влияет на все версии Windows вплоть до Windows 10. В силу природы данной техники, к сожалению, вряд ли он может быть пропатчен. В данной статье я хотел бы пролить свет на данную атаку и на ее последствия, а также рассказать, что можно сделать, чтобы защитить себя.
Как работает?
В основном, эта атака использует собственную операционную систему для внедрения вредоносного кода, а затем использует некоторые легитимные процессы для его выполнения. Хотя такой подход принципиально не сильно отличает данную угрозу от других вредоносных программ, которые используют его многие годы (вредоносные программы вводят себя в запущенные процессы уже десятилетиями), но ее особенность заключается в том, что использование атомных таблиц (предоставляемые Windows и разрешающие приложениям хранить и получать доступ к данным) не является распространенным явлением. Поэтому вполне вероятно, что данная угроза может остаться незамеченной со стороны ряда решений безопасности.
Данная атака необычна, а потому, вполне вероятно, что она останется незамеченной со стороны ряда решений безопасности.
Лучшее описание, которое Вы можете найти на данный момент, — это это материал Тала в своем блоге "AtomBombing: A Code Injection that Bypasses Current Security Solutions."
Если не существует патча, а угроза заражает все версии Windows, означает ли это, что мы оказались перед лицом большой опасности?
Не совсем. Во-первых, для того чтобы использовать данную технику, вредоносная программа должна иметь возможность выполниться на машине. Она не может быть использована для удаленной атаки и взлома Вашего компьютера. Кибер-преступники должны будут использовать некий эксплойт или обмануть пользователя таким образом, чтобы он скачал и запустил вредоносную программу в надежде на то, что имеющиеся решения безопасности не смогут эту угрозу остановить.
Действительно что-то новенькое?
Способ, которым выполняется атака для внедрения кода, является новым, хотя, как я упоминал ранее, вредоносные программы уже многие годы используют техники внедрения вредоносного кода (например, такой подход Вы можете видеть во многих семействах шифровальщиков).
Новый, но не опасный… почему же паника?
Как я говорил, сперва вредоносная программа должна быть выполнена на машине, но мы-то знаем, что в какой-то момент это обязательно произойдет (вопрос заключается не в том, что ЕСЛИ, а в том, что КОГДА).
Многие решения безопасности обнаруживают попытки внедрения процесса, однако, делают это, основываясь на сигнатурах, в результате чего многие из них не способны в наши дни обнаруживать эту особенную технику.
Кроме того, многие решения имеют список доверительных процессов. Если внедрение вредоносного кода состоялось в течение одного из них, то все меры безопасности, предпринимаемые таким решением безопасности, «пройдут стороной».
Наконец, в реальности данную атаку можно легко осуществить, и уже сейчас известно, что скорее раньше, чем позже появится ряд кибер-преступников, которые внедрят эту технику в свои вредоносные программы.
Что мы можем сделать для защиты своей корпоративной сети?
С одной стороны, традиционные антивредоносные решения эффективны при обнаружении и предотвращении заражения со стороны сотен миллионов различных угроз. Впрочем, они не так хороши в том случае, если требуется остановить направленные атаки или совершенно новые угрозы.
С другой стороны, мы имеем так называемые «антивирусы следующего поколения». Большинство из них утверждают, что они не используют сигнатуры, а их возможности обусловлены использованием техник машинного обучения, которые существенно эволюционировали за последние несколько лет и показали, что они способны довольно-таки хорошо обнаруживать некоторые новые угрозы. Зная свои слабости в том, что они не так хороши при блокировке всех угроз, они имеют хорошие экспертные наработки в пост-инфекционных сценариях, предлагая огромную добавленную ценность в тех случаях, когда нарушение уровня безопасности уже состоялось. Еще одна проблема у этих решений заключается в том, что машинное обучение не предоставляет черную или белую диагностику, что выливается в высокий уровень ложных срабатываний.
Является ли лучшим вариантом использование традиционного антивируса + антивируса следующего поколения?
Нет, хотя это лучше, чем использование только одного из этих решений, т.к. оба эти решения могут хорошо дополнять друг друга. Однако и в таком подходе тоже есть ряд недостатков. Во-первых, Вам придется заплатить за оба этих решения. Хотя это может быть оправданно из-за повышения общего уровня безопасности, но это означает, что Вам потребуется дополнительный бюджет на дополнительные работы (значительно возрастет уровень ложных срабатываний со стороны «антивируса следующего поколения», придется управлять двумя продуктами из разных консолей управления и т.д.). Также возможны проблемы и с производительностью, т.к. оба решения будут одновременно работать на компьютерах. Наконец, эти решения не взаимодействуют друг с другом, следовательно, Вы не сможете в полной мере воспользоваться всеми преимуществами той информации, которую они обрабатывают.
Какие корпоративные решения сочетают возможности традиционных антивредоносных решений и техник машинного обучения?
На мой взгляд, наилучший способ — это решение, которое сочетает в себе возможности двух таких классов решений (например, Adaptive Defense 360), т.е. мощность традиционных антивредоносных решений, а также многолетний опыт использования техник машинного обучения в сочетании с Большими данными и облаком. Такой подход позволяет обоим классам решений работать вместе, обмениваться информацией, осуществлять непрерывный мониторинг всех запущенных процессов, классифицируя все программы, выполняемые на любом компьютере в Вашей корпоративной сети, и предоставляя экспертные данные в реальном времени в случае любых нарушений безопасности. В этом случае на конечные машины будет внедряться небольшой агент, который позаботится обо всем, используя облако для ресурсоемких процессов, чтобы достичь лучшего уровня производительности на рынке.
Атаки на Active Directory
Исследователи из компании enSilo разработали новую технику внедрения кода в легитимные процессы, которая позволяет малвари обойти практически все современные механизмы защиты. Методика получила название «Атомная бомбардировка» (AtomBombing), так как атака концентрируется вокруг использования таблиц атомов (atom table). По сути, атака не эксплуатирует никаких багов, но полагается на слабые стороны Windows.
Таблицы атомов в Windows используются приложениями для хранения информации об объектах, строках и идентификаторах для доступа к ним. Доступ к таблицам и модификации данных в них есть фактически у любых приложений. Исследователи из enSilo решили воспользоваться данной особенностью работы ОС для построения новой техники атак и преуспели. По сути, AtomBombing эксплуатирует особенности самой Windows, так как операционная система позволяет модифицировать таблицы атомов и внедрять в них какой-либо код (в том числе вредоносный), который в итоге будет выполнен легитимным приложением. Внедрившись в легитимный процесс, малварь может легко остаться незамеченной для защитных механизмов.
«Многие средства обеспечения безопасности имеют белый список для доверенных процессов. Если атакующий сможет внедрить вредоносный код в один из этих процессов, он с легкостью обойдет защитные механизмы», — пишут исследователи.
Помимо возможности внедрения в процессы, инъекция кода с помощью AtomBombing также позволяет атакующему реализовать браузерную man-in-the-middle атаку, удаленно делать снимки экрана и получить доступ к зашифрованным паролям, хранящимся в браузере. Так как Google Chrome шифрует и хранит пароли с помощью Windows Data Protection API (DPAPI), малварь внедрившая в процесс текущего пользователя способна «увидеть» пароли и виде простого текста, так как API использует для шифрования и расшифровки данные текущего юзера.
Кроме того, внедрив код в браузер, атакующие смогут подменять контент, который видит пользователь. К примеру, при осуществлении банковского перевода злоумышленники могут подменить адрес платежа или сумму перевода, о чем жертва даже не догадается.
Атаки на Active Directory
Специалисты IBM X-Force обнаружили новую, четвертую версию известного банковского трояна Dridex. Как оказалось, Dridex v4 — это первая малварь, взявшая на вооружение технику AtomBombing, которую в конце 2016 года представили специалисты компании enSilo.
Методика enSilo получила название «атомная бомбардировка» (AtomBombing), так как атака концентрируется вокруг использования таблиц атомов (atom table). По сути, атака не эксплуатирует никаких багов, но полагается на слабые стороны Windows. AtomBombing эксплуатирует особенности самой ОС, так как Windows позволяет модифицировать таблицы атомов и внедрять в них какой-либо код (в том числе вредоносный), который в итоге будет выполнен легитимным приложением. А внедрившись в легитимный процесс, малварь может легко остаться незамеченной для защитных механизмов.
Исследователи IBM X-Force пишут, что изучение новой версии трояна позволило им лучше понять основные этапы развития Dridex и установить время выхода разных версий. Так, Dridex v1 был запущен в конце 2014 года и просуществовал лишь до начала 2015 года. Затем ему на смену пришел Dridex v2, который тоже «прожил» недолго – до апреля 2015 года. Наиболее стабильной версией трояна стала Dridex v3, которая работала и понемногу обновлялась на протяжении двух последующих лет. По словам экспертов, за это время троян прошел огромный путь, если сравнивать начальные версии Dridex с наиболее свежими на данный момент, это практически два разных решения.
В целом Dridex v4 мало отличается от третьей версии. Малварь по-прежнему полагается на redirection-атаки, чтобы перехватить трафик пользователя, и с помощью локального прокси-сервера перенаправляет своих жертв на поддельные сайты, имитирующие настоящие банковские порталы. Кроме того, троян все еще использует hVNC (Hidden VNC – Virtual Network Computing) для установки скрытого соединения с нужными хостами, которые контролируют зараженные устройства.
По словам экспертов, одним из наиболее заметных изменений в коде Dridex v4 стало то, как банкер загружает вредоносный код в память устройства. Раньше операторы малвари полагались на вызовы различных функций Windows API, загружали фрагменты своего кода в память, а затем внедрялись в процессы браузера. Защитные решения давно научились следить за вызовами Windows API и замечать вредоносную активность Dridex и других семейств малвари, работающих по схожему принципу. Однако Dridex v4 теперь использует другую методику: «атомную бомбардировку», описанную специалистами enSilo.
В прошлом году исследователи enSilo предупреждали, что с патчем для AtomBombing могут возникнуть серьезные проблемы. Так как никакой фактической уязвимости здесь нет, исправлять нечего, и для устранения бреши разработчикам Microsoft придется пересматривать базовые механизмы работы самой ОС, что практически нереализуемо. Тогда специалисты enSilo призывали разработчиков антивирусных продуктов разобраться в том, как работает «атомная бомбардировка», и добавить в свои решения инструменты для обнаружения подобных атак.
Теперь авторы Dridex действительно взяли «атомную бомбардировку» на вооружение. Причем хакеры воспользовались proof-of-concept эксплоитом enSilo, но использовали лишь первую его часть. Вторую часть злоумышленники написали сами. В итоге атака по-прежнему эксплуатирует атомные таблицы для загрузки вредоносного кода в RWX, но использует другие вызовы API и функций, так что методы обнаружения таких атак, созданные на базе исследования enSilo, здесь бесполезны.
Эксперты IBM X-Force сообщают, что пока Dridex v4 атакует только пользователей некоторых британских банков, однако такая ситуация вряд ли сохранится долго. Ожидается, что вскоре троян, как обычно, распространит свои атаки, и вредоносная кампания охватит другие страны и другие финансовые учреждения.
Подробный анализ Dridex v4 доступен в блоге IBM X-Force. Подробнее о методике AtomBombing, в свою очередь, можно почитать в докладе специалистов enSilo.
Читайте также: