W piątek opisywaliśmy ciekawy atak z wykorzystaniem oprogramowania od Microsoftu: teoretycznie zaufanego, bezpiecznego, posiadającego cyfrową sygnaturę giganta z Redmond. Stosowanie przez cyberprzestępców natywnych procesów Windows bądź aplikacji od Microsoftu, jest zwykle nieudokumentowanym, dobrym sposobem na pobranie złośliwej zawartości do systemu. Dzięki temu niektóre rozwiązania bezpieczeństwa mogą zostać „oszukane”, ponieważ nie monitorują pobieranych zasobów przez zaufany proces.

Microsoft Teams to wielozadaniowe narzędzie, które jest dostępne w pakietach już dla małych firm. Jest podobne do komunikatora Slack, ale potrafi integrować się z usługami Microsoftu. Jest też wymagane na komputerze ofiary, aby napastnik mógł niepostrzeżenie pobrać złośliwą zawartość (pod pewnymi warunkami):

  • W Windows musi być zainstalowany klient Microsoft Teams. Do ataku można użyć tych aplikacji:
%localappdata%/Microsoft/Teams/update.exe

%localappdata%/Microsoft/Teams/current/squirrel.exe
  • Trzeba przygotować exploit np. w Metasploicie i umieścić go najlepiej na zhakowanym serwerze WWW.
  • W systemie ofiary trzeba uruchomić update.exe z odpowiednim parametrem.
  • Złośliwe oprogramowanie zostanie automatycznie pobrane i uruchomione (nie trzeba podnosić uprawnień).
  • System nie może być zabezpieczony oprogramowaniem skanującym ruch sieciowy i/lub wykrywającym proste połączenia zwrotne tzw. reverse http/https.

I w zasadzie to tyle. Atak w praktyce zaprezentowano na poniższym wideo:

Nie ma tutaj nic, co mogłoby zaskoczyć doświadczonego badacza. Wielokrotnie możemy rozpoznać wektor  ataku. Nowoczesne rozwiązania antywirusowe wyposażone w EDR-y bez problemu radzą sobie z wykryciem dostarczenia złośliwego kodu na wielu płaszczyznach. Dodatkowo ustanawiane tak zwane odwrotne połączenie z hosta do systemu kontrolowanego przez przestępcę, jest z łatwością wykrywane przez większość oprogramowania antywirusowego. Niemniej atak można przeprowadzić inaczej — przygotować dostarczenie wirusa do systemu bardziej finezyjnymi sposobami.

Zaprezentowany sposób jest niebezpieczny z jeszcze jednego powodu: hakerzy, którzy już mają dostęp do sieci ofiary, mogą podszywać się pod procesy firmy Microsoft, czyniąc swoje ataki trudniejszymi do wykrycia.

Zalecamy użytkownikom korzystanie z oprogramowania antywirusowego wyposażonego w skanowanie ruchu sieciowego niezależnie od protokołu albo portu. Firmy, które posiadają takie rozwiązania, to: Avast, Bitdefender, G DATA, Kaspersky, Symantec, Quick Heal, Comodo, Eset, F-Secure.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

spotify pon., 15-07-2019 - 23:46

To Fsecure nie ma skanowania ruchu sieciowego ?
A jeśli tak to zależny jest od jakiegoś protokołu lub portu ?

Adrian Ścibor wt., 16-07-2019 - 08:26

Nie miał, ale ma. Nie wiedziałem, że wprowadzili do w jakiejś mniejszej aktualizacji. Nazywa się to teraz "zaawansowana ochrona sieci". Dodali też klasyfikację wyników wyszukiwania w Google (ikonka przy linku, czy strona jest bezpieczna).

Dodane przez spotify w odpowiedzi na

spotify wt., 16-07-2019 - 18:09

Oj Adrian Adrian :) Masz Safe przez rok a nie zauważyłeś? :) Klasyfikację wyników wyszukiwanie Fsecure Safe ma już co najmniej dwa lata. O tym właśnie pisałem ostatnio w kontekście Bitdefendera, gdzie po wprowadzeniu
https://avlab.pl/nowosc-bitdefender-anti-tracker-chroni-prywatnosc-w-in…
to u nich zniknęło. Co jednocześnie dzisiaj jest w Traffic ale było razem z AV. Po wprowadzeniu antitracker ta funkcjonalność niestety w AV Bitka zniknęła.

Dodane przez Adrian Ścibor w odpowiedzi na

Adrian Ścibor wt., 16-07-2019 - 18:50

Nie zwracałem na to uwagi :) W każdym razie sprawdziłem i dopisałem F-Secure do listy.

Dodane przez spotify w odpowiedzi na

Dodaj komentarz