W piątek opisywaliśmy ciekawy atak z wykorzystaniem oprogramowania od Microsoftu: teoretycznie zaufanego, bezpiecznego, posiadającego cyfrową sygnaturę giganta z Redmond. Stosowanie przez cyberprzestępców natywnych procesów Windows bądź aplikacji od Microsoftu, jest zwykle nieudokumentowanym, dobrym sposobem na pobranie złośliwej zawartości do systemu. Dzięki temu niektóre rozwiązania bezpieczeństwa mogą zostać „oszukane”, ponieważ nie monitorują pobieranych zasobów przez zaufany proces.
Microsoft Teams to wielozadaniowe narzędzie, które jest dostępne w pakietach już dla małych firm. Jest podobne do komunikatora Slack, ale potrafi integrować się z usługami Microsoftu. Jest też wymagane na komputerze ofiary, aby napastnik mógł niepostrzeżenie pobrać złośliwą zawartość (pod pewnymi warunkami):
- W Windows musi być zainstalowany klient Microsoft Teams. Do ataku można użyć tych aplikacji:
%localappdata%/Microsoft/Teams/update.exe %localappdata%/Microsoft/Teams/current/squirrel.exe
- Trzeba przygotować exploit np. w Metasploicie i umieścić go najlepiej na zhakowanym serwerze WWW.
- W systemie ofiary trzeba uruchomić update.exe z odpowiednim parametrem.
- Złośliwe oprogramowanie zostanie automatycznie pobrane i uruchomione (nie trzeba podnosić uprawnień).
- System nie może być zabezpieczony oprogramowaniem skanującym ruch sieciowy i/lub wykrywającym proste połączenia zwrotne tzw. reverse http/https.
I w zasadzie to tyle. Atak w praktyce zaprezentowano na poniższym wideo:
Nie ma tutaj nic, co mogłoby zaskoczyć doświadczonego badacza. Wielokrotnie możemy rozpoznać wektor ataku. Nowoczesne rozwiązania antywirusowe wyposażone w EDR-y bez problemu radzą sobie z wykryciem dostarczenia złośliwego kodu na wielu płaszczyznach. Dodatkowo ustanawiane tak zwane odwrotne połączenie z hosta do systemu kontrolowanego przez przestępcę, jest z łatwością wykrywane przez większość oprogramowania antywirusowego. Niemniej atak można przeprowadzić inaczej — przygotować dostarczenie wirusa do systemu bardziej finezyjnymi sposobami.
Zaprezentowany sposób jest niebezpieczny z jeszcze jednego powodu: hakerzy, którzy już mają dostęp do sieci ofiary, mogą podszywać się pod procesy firmy Microsoft, czyniąc swoje ataki trudniejszymi do wykrycia.
Zalecamy użytkownikom korzystanie z oprogramowania antywirusowego wyposażonego w skanowanie ruchu sieciowego niezależnie od protokołu albo portu. Firmy, które posiadają takie rozwiązania, to: Avast, Bitdefender, G DATA, Kaspersky, Symantec, Quick Heal, Comodo, Eset, F-Secure.
