Październik 2022: Ranking najpopularniejszych ataków socjotechnicznych (próby omijania Mark of the Web)

28 października, 2022

Październik jest miesiącem, w którym obserwujemy wzrost liczby ataków socjotechnicznych, wykorzystujących mało popularne rozszerzenia plików, jako załączniki. Celem autorów spam-kampanii jest oszukać zabezpieczenia dostawców usług pocztowych oraz programy bezpieczeństwa, które chronią systemy operacyjne i dane użytkowników końcowych. Przesyłanie szkodliwych plików, ukrytych pod postacią archiwów z rozszerzeniem .ISO oraz .IMG, to jeden ze sposobów na ominięcie tak zwanego znacznika Mark of the Web (MOTW), który jest częścią metadanych pliku w systemie plików NTFS. Nie możesz go tak łatwo zobaczyć, bo jest ono częścią funkcji Alternate Data Streams (ADS), ale możesz je wyświetlić poleceniem w CMD:

dir nazwa_pliku.rozszerzenie /R

Mark of the Web (MOTW) oznacza specjalnym tagiem plik konkretną strefą Microsoftu, aby powiedzieć systemowi Windows albo pakietowi Office – „hej, ten plik został pobrany z internetu i powinien mieć ograniczone uprawnienia”.

motw
Plik pobrany z Internetu we właściwościach powinien zawierać informację o MOTW.

Microsoft wyróżnia kilka stref dla plików wykonywalnych:

0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone (zaznaczone na obrazku powyżej)
4 Restricted Sites Zone

Skutkuje to na przykład tym, że plik pobrany z URL w przeglądarce, przyjmuje wartość ZoneID=3, czyli tag Internet Zone, dzięki któremu „Windows wie”, że technologia SmartScreen musi zablokować podejrzane oprogramowanie, jeżeli nie ma ono podpisu cyfrowego od zaufanego dostawcy certyfikatów.

Bardziej szczegółowo piszemy o MOTW w podsumowaniu testów bezpieczeństwa z maja 2022 roku. Plik wykonywalny z tagiem internetowym, pobrany przez dowolną przeglądarkę, może zostać zablokowany przez technologię SmartScreen z takim oto znanym dla każdego ostrzeżeniem:

Microsoft SmartScreen
Microsoft Defender SmartScreen – ostrzeżeniem przez niezaufanym plikiem.

Oczywiście do zablokowania pliku dochodzi wtedy, jeśli jest uznany za podejrzany, szkodliwy, o małej reputacji i bez podpisu cyfrowego, co może wskazywać w pierwszej kolejności na malware (nie zawsze). Jest to prewencyjna technologia Microsoftu wbudowana w Windows i każdy ją posiada od Windows 7, z licznymi usprawnieniami w Windows 10 i Windows 11.

Dla przykładu w naszych testach obserwujemy następujące logi, które mogą dać dużo światła dla rozpatrywanego przykładu ze strefami Microsoftu. Poniżej podajemy kawałek logu z narzędzia Sysmon (używamy go w testach), które monitoruje w systemie wszystko to, co się dzieje podczas analizy malware. Jest to pierwszy etap, kiedy malware jest pobierane przez przeglądarkę do systemu.

W logu znajduje się: proces przeglądarki chrome.exe, domena z malware, nazwa pobranego pliku, suma kontrolna pliku, strefa ZoneID=3:

				
					<EventData>
<Data Name="RuleName">-</Data>
<Data Name="UtcTime">2022-09-07 10:54:53.854</Data>
<Data Name="ProcessGuid">{a3164e60-787d-6318-cb00-000000006400}</Data>
<Data Name="ProcessId">9176</Data>
<Data Name="Image">C:\Program Files\Google\Chrome\Application\chrome.exe</Data>
<Data Name="TargetFilename">C:\Users\test\Downloads\w2WIk_2022-09-07_exe:Zone.Identifier</Data>
<Data Name="CreationUtcTime">2022-09-07 10:54:53.503</Data>
<Data Name="Hash">MD5=65B9F67FE5E9FC40DC4F3BBBD5026C61,SHA256=4187C413D12D001082589D1668138E78039B8A77A34CE72F062FC01069C6AFA9,IMPHASH=00000000000000000000000000000000</Data>
<Data Name="Contents">[ZoneTransfer] ZoneId=3 HostUrl=http://micro35949soft.com/pre_sandbox/2022-09-07/w2WIk_2022-09-07_exe </Data>
<Data Name="User">DESKTOP-SG5N127\test</Data>
</EventData>
</Event>
				
			

Autorzy spam-kampanii używają pewnych typów rozszerzeń dla załączników, aby oszukać strefy Microsoftu, a tym samym SmartScreen, ponieważ plik-malware zapakowany do archiwum .ISO, .IMG i innych, po rozpakowaniu nie zawiera żadnego z pięciu tagów, o których wspominamy wyżej.

Uściślając, przestępcy mogą używać mało popularnych rozszerzeń plików, aby obchodzić zabezpieczenia:

  • SmartScreen i tym samym znacznik Mark Of The Web poprzez dostarczenie malware ukryte w archiwum z rozszerzeniem .ISO, .IMG (jako załącznik lub link do pobrania pliku).
  • SmartScreen oraz MOTW poprzez osadzenie malware z rozszerzeniem maszyny wirtualnej .VHDX lub .VHD.
  • Pododnie jak wyżej, lecz z użyciem skompresowanych plików do archiwów: .arj, .gzip, .rar i innych.
  • Po wypakowaniu archiwum (.ZIP, .RAR i innych) lub zamontowaniu jako napędu (.ISO, .IMG), pliki wykonywalne tracą swój znacznik. W taki sposób oszukuje się Microsoft SmartScreen.
 

Referencje: https://attack.mitre.org/techniques/T1553/005/

Podsumowując ręczne wyłączenie technologii SmartScreen w Windows przekłada się na negatywne skutki ochrony, dlatego domyślnie powinno zostać ono włączone (przy czym oszukanie tej technologii nadal będzie możliwe). W związku z powyższym rekomendujemy używanie dobrych rozwiązań antywirusowych.

Przykłady ataków socjotechnicznych (omijanie Mark of the Web)

Ataki socjotechniczne – październik 2022

W tym przeglądzie przedstawiamy kilka popularnych ataków socjotechnicznych, które polegają na wzbudzeniu u ofiary zaufania i wykorzystaniu nietypowych rozszerzeń plików, aby oszukać Microsoft SmartScreen.

Kampanie te mają na celu dostarczenie złośliwego oprogramowania wykradającego informacje z komputerów pracowników urzędów oraz z komputerów użytkowników w ich własnych domach. Pamiętajcie, aby nie polegać na własnych domysłach, lecz sprawdzać i weryfikować, a w razie niepewności kontaktować się z nami, przesyłając próbkę spamu lub samego załącznika.

1. Zamówienie do dostawcy Enterlaser nr ZD_0071_10_22

Dzień dobry,
w załączeniu przesyłamy zamówienie. Prosimy o wysyłkę w dniu dzisiejszzym- pilne.
Z poważaniem
Krzysztof  Sojda
Dyrektor ds. rozwoju
EnterLaser sp. z o. o.

W załączniku mamy „Dokument_ZD_0071_10_22_pdf .img”, który montuje się jako napęd DVD w Windows, a w środku złośliwy plik EXE, będący trojanem-downloaderem.

2. BNP Paribas – wyciąg bankowy

Dzień dobry,
W załączeniu przelew bankowy z dnia 19 października 2022
Jeśli mieliby Państwo pytania, prosimy o kontakt pod numerem: 500 990 500.
Z pozdrowieniami
BNP Paribas Bank Polska S.A.
Nasz system wysłał tę wiadomość automatycznie - prosimy na nią nie odpowiadać.
Z pozdrowieniami,
Szymon Machniak
bnp paribas

3. zamówienie nr ZMW/SBizhub_C209261

Dzień dobry,
w załączeniu wysyłam zamówienie ZD/C209261/2022, proszę o przesłanie potwierdzenia przyjęcia zamówienia do realizacji.
Z poważaniem, / Best Regards,
Wiktoria Stelmach

 

ADRES WYSYŁKOWY:
ENERGOMET P.Z.I. i Z.
Gałowska 19A, Wrocław 54-530
tel. 601 570 249

energomet

4. Sygnatura akt I C /14

Prosimy o zapoznanie się z faktami, o które jesteście oskarżeni.
Jeśli tego nie zrobisz, będziemy zobowiązani do nieodwołalnego aresztowania Cię.
Skontaktuj się z nami poprzez następujący bezpieczny i prywatny adres : [email protected]
Adam CIEŚLAK – Komendant Centralnego Biura Zwalczania Cyberprzestępczości
policja scam

Za wyjątkiem ostatniego przykładu „na policję” mamy do czynienia ze złośliwym oprogramowaniem pobierającym dodatkowy payload. Nigdy nie wiadomo, co przestępca może „podczepić” na końcu: ransomware, backdoora, trojana bankowego. Dlatego przypominamy o stosowanej kulturze bezpieczeństwa.

Postaraj się zapamiętać!

Szczegółowy poradnik, jak rozpoznawać wiarygodność nadawcy oraz załączników wymaga, odmiennego podejścia do tematu i takie opracowanie udostępnimy naszym Bezpiecznym Czytelnikom – kliknij, aby zobaczyć, jak dołączyć do tego grona i odbierz darmowy poradnik PDF.

Przestępcy nie zawsze stosują wyrafinowane metody obchodzenia zabezpieczeń technicznych, ponieważ jest to kosztowne i coraz trudniejsze, gdyż producenci stosują coraz lepsze zabezpieczenia poprzez wykrywanie niebezpiecznego kodu za pomocą maszynowego uczenia i zaawansowanej analizy. Dlatego oszuści skupiają swoją uwagę na człowieku, który może popełnić błędy i niepomyślnie „z rozpędu” uruchomi taki załącznik.

Chcemy udostępniać tego rodzaju informacje edukacyjne i docierać do mniej technicznych osób, ponieważ za cel obraliśmy sobie budowę świadomości obywateli z zakresu cyberbezpieczeństwa, ochrony danych osobowych, a także zagrożeń wynikających z postępu technologicznego. To ważne, aby zakorzeniać w świadomości każdego obywatela informacje, jak przeciwdziałać cyberprzestępczości!

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 4.5 / 5. Liczba głosów: 4

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]