Όταν νομίζατε ότι τα πράγματα δεν μπορούσαν να γίνουν πιο τρομακτικά για τους χρήστες Windows, οι κορυφαίοι χάκερ της ομάδας «κόκκινης» επίθεσης (red team) αποδεικνύουν ότι μάλλον κάνατε λάθος.
Πρώτα, υπήρξε μια ευπάθεια zero-day που άφηνε τους κωδικούς πρόσβασης Windows εκτεθειμένους, Τώρα, έχει επιβεβαιωθεί ότι υπάρχει τρόπος να παρακαμφθεί το Windows Defender Application Control, το οποίο προορίζεται να περιορίσει την εκτέλεση εφαρμογών μόνο σε αξιόπιστο λογισμικό, με όλες τις συνέπειες που φέρνει αυτό για την ασφάλεια.
Τι είναι το Windows Defender Application Control;
Όπως εξηγεί η Microsoft: «Το Windows Defender Application Control έχει σχεδιαστεί για να προστατεύει τις συσκευές από κακόβουλο λογισμικό και άλλες μη αξιόπιστες εφαρμογές.Αποτρέπει την εκτέλεση κακόβουλου κώδικα διασφαλίζοντας ότι μπορεί να εκτελείται μόνο ο εγκεκριμένος κώδικας που γνωρίζεις».
Με άλλα λόγια, είναι μια ασφάλεια που επιβάλλει έναν κατάλογο με συγκεκριμένο λογισμικό που θεωρείται αρκετά αξιόπιστο για να εκτελείται στον υπολογιστή σου.
Είναι επίσης αυτό που ονομάζεται «ασφαλές όριο» και μπορεί να κερδίσει πληρωμές μέσω του προγράμματος bug bounty της Microsoft αν παρακαμφθεί. Αυτό σημαίνει, ότι πολλοί χάκερ παρακολουθούν αυτήν την τεχνολογία και ένας από αυτούς μόλις βρήκε έναν τρόπο να την παρακάμψει.
Η μέθοδος παράκαμψης του Windows Defender
Οι χάκερ είναι ιδιοφυείς και εμμονικοί όταν πρόκειται να βρουν νέες μεθόδους επίθεσης και σημεία εισόδου. Έτσι, δεν προκαλεί έκπληξη το γεγονός ότι όταν αναζητούσε μια νέα αλυσίδα εκτέλεσης για την προετοιμασία μιας μελλοντικής αποστολής για πελάτη του χρηματοοικονομικού τομέα, ο Bobby Cooke, κόκκινος χάκερ της ομάδας IBM X-Force Red, στράφηκε στον Windows Defender Application Control και ειδικότερα στις εφαρμογές Electron.
«Οι εφαρμογές Electron λειτουργούν ως περιηγητές ιστού που δημιουργούν επιτραπέζιες εφαρμογές χρησιμοποιώντας τις τυπικές τεχνολογίες του ιστού, όπως HTML, JavaScript και CSS», ανέφερε ο Cooke.
Επιπλέον, η μηχανή JavaScript που χρησιμοποιείται είναι το Node.js, το οποίο προσφέρει μια ισχυρή διεπαφή προγραμματισμού εφαρμογών (API). Αυτές οι διεπαφές είναι ισχυρές επειδή επιτρέπουν την αλληλεπίδραση με το λειτουργικό σύστημα. «Αυτές οι διεπαφές API επιτρέπουν ενέργειες όπως η ανάγνωση και η εγγραφή αρχείων, η εκτέλεση προγραμμάτων και άλλες λειτουργίες που είναι χαρακτηριστικές των εγγενών εφαρμογών», εξήγησε ο Cooke.
Έτσι, ο Cooke στράφηκε στην κλασική εφαρμογή Microsoft Teams, η οποία αρχικά είχε αναπτυχθεί με το Electron και υπογράφηκε από τη Microsoft και η οποία ήταν ικανή να παρακάμψει ακόμη και τις πιο αυστηρές πολιτικές WDAC.
«Ενώ το Node.js μπορεί να αλληλεπιδράσει με το λειτουργικό σύστημα μέσω των API του», είπε ο Cooke, «του λείπει η πλήρης λειτουργικότητα της C, όπου οι προγραμματιστές μπορούν να καλούν απευθείας τα WINAPIs και NTAPIs».
Αλλά αυτό το κενό γεφυρώνεται από τα Node modules, τα οποία μπορούν να επεκτείνουν τις δυνατότητες του πλαισίου Node.js και να εκτελούν JavaScript μέσα σε εφαρμογές Electron.
Τεχνικές που χρησιμοποίησαν οι χάκερ της X-Force
Για να παρακάμψουν τα μέτρα ασφαλείας του Windows Defender και να εκτελέσουν το payload τους, οι χάκερ της X-Force ακολούθησαν τις εξής τεχνικές:
- Χρησιμοποίησαν τη γνωστή μέθοδο «Living Off The Land Binaries» (LOBINS). Οι LOBINS μπορούν να κρύβουν κακόβουλη δραστηριότητα μέσα σε ένα γνωστό και ήδη εγκατεστημένο σύστημα Windows, όπως το MSBuild.exe.
- Ανέβασαν μια αξιόπιστη εφαρμογή με μια μη αξιόπιστη βιβλιοθήκη δυναμικής σύνδεσης (DLL).
- Εκμεταλλεύτηκαν έναν κανόνα εξαίρεσης από μια πολιτική WDAC του πελάτη.
- Βρήκαν μια νέα αλυσίδα εκτέλεσης σε μια αξιόπιστη εφαρμογή για να επιτρέψουν την ανάπτυξη του C2 (Command and Control) payload.
Πώς να αντιμετωπίσεις την απειλή
Για να περιοριστεί η απειλή, η πρώτη λύση απαιτεί ο πελάτης να έχει εφαρμόσει τους συνιστώμενους κανόνες της μαύρης λίστας ή να χρησιμοποιεί άλλη λύση που μπορεί να ανιχνεύσει τα πιο κοινά LOLBINs. Η δεύτερη λύση είναι αποτελεσματική μόνο αν το Windows Defender Application Control είναι ενεργοποιημένο χωρίς να επιβάλλεται η υπογραφή των DLL.
VIA: FoxReport.gr
