Anatomia Ataku #3 – Malware – Dostarczenie

Złośliwe oprogramowanie – malware – to bez wątpienia podstawowe narzędzie „pracy” cyberprzestępców. Dzięki niemu napastnik może zdalnie zaszyfrować nasze dane, otworzyć kanał komunikacji do naszego laptopa/serwera, skopiować nasze hasła czy zakłócić działanie kluczowej usługi. W tej serii omówimy kluczowe etapy ataku, bez wchodzenia w szczegóły rodzajów złośliwego oprogramowania. Chcielibyśmy przybliżyć proces, jakiego trzymają się adwersarze bardziej, niż tzw. „Payload”, którym chcą wyrządzić nam szkody. Dzisiaj – dostarczenie złośliwego oprogramowania do celu.

Ataki malware mają różne cele. Jednak łączy je jedno – złośliwe oprogramowanie trzeba dostarczyć do celu by mogło działać. Nawiązując do cyber-killchain, im skuteczniejszy rekonesans tym większa szansa na powodzenie ataku. Dlatego wciąż najpopularniejszym kanałem rozprzestrzeniania malware są wiadomości e-mail, które można dokładnie spersonalizować.

Proces dostarczenia malware do ofiary ma dwa główne elementy:

• Kanał dostarczenia: metoda dostarczania dla tego ataku (sposób, w jaki złośliwy kod dociera do użytkownika końcowego) – miernikiem sukcesu jest liczba otwarć (odczytania maila, kliknięcia w link)

• Konfiguracja: metody, których używają adwersarze, aby wyglądać na legalnych. Składa się na to sposób, w jaki omijają punkty kontrolne mające na celu zidentyfikowanie złośliwego kodu oraz personalizacja wiadomości (socjotechnika) tak, by ofiara nie uznała jej za podejrzaną.

Oraz dwa poboczne (bardziej istotne dla kolejnych etapów ataku):

• Wyzwalacze ataku: sposób, w jaki uruchamiany jest malware – kliknięcie w link, pobranie i otworzenie załącznika, wpisanie danych na stronie…

• Payload – sposób, w jaki przeprowadzany jest atak (otwarcie łącza C2C, zaszyfrowanie danych, śledzenie kombinacji klawiszy, etc.) – mocno powiązany z konfiguracją.

Przyjrzyjmy się podstawowym kanałom, którymi przesyłany jest malware:

1. Wiadomości phishingowe
   Bezsprzecznie najczęstsza metoda rozprzestrzeniania złośliwego oprogramowania. Wiadomości phishingowe mają różne kształty, rozmiary, kolory, poziom personalizacji i jedną wspólną cechę: poczucie pilności. 

2. Spam w sieciach społecznościowych
   Spam w serwisach społecznościowych to ze względu na przeciętny poziom świadomości bezpieczeństwa użytkownika tych serwisów – mocno eksploatowany wektor. Polega na przesłaniu linku, prowadzącego do spoofowanej strony bądź od razu rozpoczynającego pobieranie pliku. Przykładami mogą być zdjęcia lub filmy udostępnione w serwisie społecznościowym, które po kliknięciu przenoszą użytkownika na fałszywą stronę YouTube, która następnie żąda od użytkownika pobrania i zainstalowania wtyczki odtwarzacza wideo. Po zainstalowaniu „Odtwarzacza wideo” nadal nie można oglądać wideo. Ale przestępca może obserwować Cię na Twoim komputerze, mając pełny dostęp do Twojej kamery.

3. Protokół zdalnego pulpitu – RDP
   Remote Desktop Protocol (RDP) to protokół połączenia, który umożliwia użytkownikowi łączenie się z innym komputerem za pośrednictwem połączenia sieciowego. Cyberprzestępcy wykorzystują teraz automatyzację do skanowania Internetu w poszukiwaniu komputerów otwartych na RDP. Następnie próbują odgadnąć nazwę użytkownika i hasło, aby uzyskać dostęp do zdalnego komputera. Inną możliwością jest kupienie danych użytkownika w darknecie.

4. Drive-by Downloads ze zhakowanej witryny
   Przeciętna strona internetowa jest atakowana 58 razy dziennie w celu zainfekowania jej złośliwym oprogramowaniem. Gdy witryna zostanie zainfekowana, rozpocznie skanowanie komputera każdego odwiedzającego witrynę w poszukiwaniu luk w zabezpieczeniach. Te luki mogą wynikać z nieaktualnych aplikacji, brakujących poprawek systemu operacyjnego lub wtyczek do przeglądarek. Jeśli zostanie znaleziona słabość, zostanie ona wykorzystana do zainfekowania komputera złośliwym oprogramowaniem.

Jednak samo wysłanie złośliwego pliku lub linku do jego pobrania nie gwarantuje nawet promila sukcesu. Obecnie nawet najmniej świadomy użytkownik internetu może liczyć na ochronę przez wbudowany system antywirusowy lub zapewnione przez firmę bezpieczeństwo na poziomie sieci (Secure Web Gateway lub w bardziej wymagających organizacjach Remote Browser Isolation) czy urządzenia (XDR lub EDR). Dlatego prawdziwą sztuką jest konfiguracja – takie przygotowanie programu, by nie został wykryty przez punkty kontroli. Kreatywność atakujących nie zna granic…

1. Packers – programy, które kompresują plik wykonywalny, aby był mniejszy. „Owija” skompresowany plik wykonywalny w kodzie niezbędnym do zdekompresowania się w czasie wykonywania. Kompresja zmienia wygląd pliku wykonywalnego. Wykrywanie oparte na sygnaturach polega na znalezieniu przez badaczy złośliwego oprogramowania lub wzorca w znanym pliku złośliwego oprogramowania, takiego jak hash lub liczba wzorców binarnych, w celu utworzenia unikalnego identyfikatora tego złośliwego oprogramowania. Pakowanie zmienia ten identyfikator, więc AV może nie wykryć spakowanego pliku.

2. Crypters – programy podobne do packera. Dodaje do złośliwego kodu zaciemnianie (obfuskację) lub szyfrowanie. Podobnie jak packer, jego celem jest zmiana binarnego odcisku palca pliku, aby uniknąć wykrycia. Krótko mówiąc, program szyfrujący szyfruje oryginalny plik wykonywalny za pomocą algorytmu szyfrowania — często czegoś tak prostego, jak szyfr XOR z unikalnym kluczem. Program szyfrujący tworzy następnie kod pośredniczący, który jest początkowym programem, który ma wszystko, czego potrzebuje do odszyfrowania i uruchomienia rzeczywistego wbudowanego ładunku.

Powyższe mają jednak spore ograniczenia. Obie techniki w większości chronią złośliwe oprogramowanie przed analizą statyczną, ale niekoniecznie dynamiczną. Analiza statyczna oznacza techniki wykrywania złośliwego oprogramowania, które wykonujesz na pliku, który nie został jeszcze wykonany. Ponieważ chcesz zatrzymać złośliwe oprogramowanie, zanim dostanie się do systemów, wiele produktów antywirusowych skanuje pliki, gdy przechodzą przez sieci lub są kopiowane do systemu plików komputera. Jednak analiza statyczna ogranicza to, czego AV może dowiedzieć się o konkretnym pliku, ponieważ pliki te mogą być spakowane lub zaszyfrowane.

Analiza dynamiczna oznacza techniki wykrywania stosowane podczas wykonywania pliku. Analiza dynamiczna pozwala zobaczyć kod złośliwego oprogramowania w pamięci lub zwrócić uwagę na inne rzeczy, które robi. Spakowany lub zaszyfrowany program musi w końcu sam się rozpakować lub odszyfrować, aby mógł działać. W związku z tym produkty wykorzystujące analizę dynamiczną często potrafią rozpoznać zamaskowane złośliwe oprogramowanie po jego uruchomieniu.

3. Polimorficzne złośliwe oprogramowanie
   Patrząc z bardzo wysoka, malware polimorficzny to złośliwe oprogramowanie, które wielokrotnie wykorzystuje metody pakowania i szyfrowania, aby zmienić swój wygląd. Jednak zamiast używać kluczy statycznych, jak to robi większość programów szyfrujących, polimorficzne złośliwe oprogramowanie wykorzystuje bardziej złożone algorytmy szyfrowania z losowymi kluczami, zmiennymi i dekoderami. Samo złośliwe oprogramowanie może mutować się za każdym razem, gdy kopiuje się do nowej lokalizacji, lub przestępcy mogą konfigurować serwery, które automatycznie modyfikują wariant złośliwego oprogramowania za każdym razem, gdy zostanie wysłany do nowej ofiary. Polimorficzny malware po stronie serwera jest bardzo popularne i prawdopodobnie stanowi większość codziennych wariantów złośliwego oprogramowania.

4. Downloadery, droppery i ładowanie etapowe
   Wiele rodzajów złośliwego oprogramowania wykorzystuje programy tymczasowe zwane dropperami lub downloaderami, aby dowiedzieć się o systemie przed zainstalowaniem prawdziwego złośliwego oprogramowania. Niektóre z dropperów najpierw sprawdzają system, aby uniknąć wyzwalania alertów bezpieczeństwa podczas pobierania i instalowania rzeczywistego ładunku. Mogą wyszukiwać i zabijać procesy bezpieczeństwa lub sprawdzać, czy działają w systemie wirtualnym. Mogą również pobierać swoje dodatkowe ładunki za pomocą zaszyfrowanych kanałów zwrotnych, aby uniknąć wykrycia sieci lub wstrzykiwać złośliwe oprogramowanie bezpośrednio do znanych procesów systemu Windows, aby uniknąć wykrycia.

…z drugiej strony, dostawcy AV projektują sygnatury, aby rozpoznać droppery i downloadery, a nowoczesne programy AV bez problemu rozpoznają większość z nich.

Konkluzje?

Planując procedurę bezpieczeństwa w zakresie ochrony przed infekcją złośliwym oprogramowaniem specjaliście odwołują się m.in. do taktyk i technik opisanych w MITRE ATT&CK oraz opracowanego przez Lockheed Martin,  Cyber-Kill Chain. W naszej pracy spotykamy się z poniższymi metodami ochrony przed atakami w fazie delivery & exploitation:

DELIVERY – KANAŁY ROZPRZESTRZENIANIA – pamiętajmy „haker chce byś coś ściągnął albo w coś kliknął”. Dlatego dynamiczna kategoryzacja stron internetowych połączona z solidnym rozwiązaniem klasy email security, pozwoli kontrolować dwa najbardziej powszechne kanały dostarczania złośliwego oprogramowania. Mówimy tu o pierwszym stopniu prewencji – użytkownik nie wejdzie na zainfekowaną stronę lub nie rozpocznie pobierania, a e-mail nie zostanie dostarczony. Nową technologią w zakresie ochrony przed atakami z internetu (np. Drive-by downloads) jest Remote Browser Isolation – streamowania interaktywnej sesji do przeglądarki użytkownika z bezpiecznej maszyny wirtualnej w chmurze dostawcy.

EXPLOITATION – KONFIGURACJA – jeżeli jednak źródło wygląda na wiarygodne (np. znany  portal internetowy bardzo niedawno zainfekowany) i rozpocznie się pobieranie pliku – trzeba go rozpoznać. Wspomniana technologia Secure Web Gateway czy Email Security Gateway – pozwala w skrócie, poczynić następujące kroki:

• Skanować pliki w określonych punktach

• Dopasowywać sygnatury do wzorców z danymi znalezionymi w przeskanowanych plikach

• Zastosować techniki heurystyczne, aby rozpoznać nowe wirusy

• Usunąć złośliwy kod z legalnych plików

Technikami pozwalającymi zyskać dużo większą pewność co do plików są sandboxing oraz content disarm&reconstruction. Sandboxing pozwala uruchomić plik w emulowanym środowisku – wiernie odwzorowującym system użytkownika. Rozpoznanie malware’u następuje po obserwacji jego zachowania. Z kolei content disarm&reconstruction nie bazuje na rozpoznaniu. Każdy plik skanuje – rozpoznaje znany, legalny kod – i przenosi go do nowo stworzonego pliku omijając każdy nieznany bądź aktywny kod. 100% pewność. Warto pamiętać, że obie technologie mają swoje specyficzne zastosowania.

Jak przy każdej możliwej okazji, warto podkreślić, że równoległą i być może najważniejszą linią bezpieczeństwa jest dobrze wyedukowany użytkownik. Z drugiej strony gdyby edukacja była prosta nie byłoby rynku na powyższe technologie 🙂 Warto analizować trendy publikowane przez graczy specjalizujących się w Threat Intelligence by wiedzieć na jakie kampanie malware narażone są podmioty z Twojej branży. Albo… porozmawiać z nami!