Październik 2022: Ranking najpopularniejszych ataków socjotechnicznych (próby omijania Mark of the Web)

avlab.pl 2 lat temu
Zdjęcie: Październik 2022: Ranking najpopularniejszych ataków socjotechnicznych (próby omijania Mark of the Web)


Październik jest miesiącem, w którym obserwujemy wzrost liczby ataków socjotechnicznych, wykorzystujących mało popularne rozszerzenia plików, jako załączniki. Celem autorów spam-kampanii jest oszukać zabezpieczenia dostawców usług pocztowych oraz programy bezpieczeństwa, które chronią systemy operacyjne i dane użytkowników końcowych. Przesyłanie szkodliwych plików, ukrytych pod postacią archiwów z rozszerzeniem .ISO oraz .IMG, to jeden ze sposobów na ominięcie tak zwanego znacznika Mark of the Web (MOTW), który jest częścią metadanych pliku w systemie plików NTFS. Nie możesz go tak łatwo zobaczyć, bo jest ono częścią funkcji Alternate Data Streams (ADS), ale możesz je wyświetlić poleceniem w CMD:

dir nazwa_pliku.rozszerzenie /R

Mark of the Web (MOTW) oznacza specjalnym tagiem plik konkretną strefą Microsoftu, aby powiedzieć systemowi Windows albo pakietowi Office – „hej, ten plik został pobrany z internetu i powinien mieć ograniczone uprawnienia”.

Plik pobrany z Internetu we adekwatnościach powinien zawierać informację o MOTW.

Microsoft wyróżnia kilka stref dla plików wykonywalnych:

0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone (zaznaczone na obrazku powyżej)
4 Restricted Sites Zone

Skutkuje to na przykład tym, iż plik pobrany z URL w przeglądarce, przyjmuje wartość ZoneID=3, czyli tag Internet Zone, za pomocą którego „Windows wie”, iż technologia SmartScreen musi zablokować podejrzane oprogramowanie, o ile nie ma ono podpisu cyfrowego od zaufanego dostawcy certyfikatów.

Bardziej szczegółowo piszemy o MOTW w podsumowaniu testów bezpieczeństwa z maja 2022 roku. Plik wykonywalny z tagiem internetowym, pobrany przez dowolną przeglądarkę, może zostać zablokowany przez technologię SmartScreen z takim oto znanym dla wszystkich ostrzeżeniem:

Microsoft Defender SmartScreen – ostrzeżeniem przez niezaufanym plikiem.

Oczywiście do zablokowania pliku dochodzi wtedy, jeżeli jest uznany za podejrzany, szkodliwy, o małej reputacji i bez podpisu cyfrowego, co może wskazywać w pierwszej kolejności na malware (nie zawsze). Jest to prewencyjna technologia Microsoftu wbudowana w Windows i każdy ją posiada od Windows 7, z licznymi usprawnieniami w Windows 10 i Windows 11.

Dla przykładu w naszych testach obserwujemy następujące logi, które mogą dać dużo światła dla rozpatrywanego przykładu ze strefami Microsoftu. Poniżej podajemy kawałek logu z narzędzia Sysmon (używamy go w testach), które monitoruje w systemie wszystko to, co się dzieje podczas analizy malware. Jest to pierwszy etap, kiedy malware jest pobierane przez przeglądarkę do systemu.

W logu znajduje się: proces przeglądarki chrome.exe, domena z malware, nazwa pobranego pliku, suma kontrolna pliku, strefa ZoneID=3:

- 2022-09-07 10:54:53.854 {a3164e60-787d-6318-cb00-000000006400} 9176 C:\Program Files\Google\Chrome\Application\chrome.exe C:\Users\test\Downloads\w2WIk_2022-09-07_exe:Zone.Identifier 2022-09-07 10:54:53.503 MD5=65B9F67FE5E9FC40DC4F3BBBD5026C61,SHA256=4187C413D12D001082589D1668138E78039B8A77A34CE72F062FC01069C6AFA9,IMPHASH=00000000000000000000000000000000 [ZoneTransfer] ZoneId=3 HostUrl=http://micro35949soft.com/pre_sandbox/2022-09-07/w2WIk_2022-09-07_exe DESKTOP-SG5N127\test

Autorzy spam-kampanii używają pewnych typów rozszerzeń dla załączników, aby oszukać strefy Microsoftu, a tym samym SmartScreen, ponieważ plik-malware zapakowany do archiwum .ISO, .IMG i innych, po rozpakowaniu nie zawiera żadnego z pięciu tagów, o których wspominamy wyżej.

Uściślając, przestępcy mogą używać mało popularnych rozszerzeń plików, aby obchodzić zabezpieczenia:

  • SmartScreen i tym samym znacznik Mark Of The Web poprzez dostarczenie malware ukryte w archiwum z rozszerzeniem .ISO, .IMG (jako załącznik lub link do pobrania pliku).
  • SmartScreen oraz MOTW poprzez osadzenie malware z rozszerzeniem maszyny wirtualnej .VHDX lub .VHD.
  • Pododnie jak wyżej, ale z użyciem skompresowanych plików do archiwów: .arj, .gzip, .rar i innych.
  • Po wypakowaniu archiwum (.ZIP, .RAR i innych) lub zamontowaniu jako napędu (.ISO, .IMG), pliki wykonywalne tracą swój znacznik. W taki sposób oszukuje się Microsoft SmartScreen.

Referencje: https://attack.mitre.org/techniques/T1553/005/

Podsumowując manualne wyłączenie technologii SmartScreen w Windows przekłada się na negatywne skutki ochrony, dlatego domyślnie powinno zostać ono włączone (przy czym oszukanie tej technologii przez cały czas będzie możliwe). W związku z powyższym rekomendujemy używanie dobrych rozwiązań antywirusowych.

Przykłady ataków socjotechnicznych (omijanie Mark of the Web)

Ataki socjotechniczne – październik 2022

W tym przeglądzie przedstawiamy kilka popularnych ataków socjotechnicznych, które polegają na wzbudzeniu u ofiary zaufania i wykorzystaniu nietypowych rozszerzeń plików, aby oszukać Microsoft SmartScreen.

Kampanie te mają na celu dostarczenie złośliwego systemu wykradającego informacje z komputerów pracowników urzędów oraz z komputerów użytkowników w ich własnych domach. Pamiętajcie, aby nie polegać na własnych domysłach, ale sprawdzać i weryfikować, a w razie niepewności kontaktować się z nami, przesyłając próbkę spamu lub samego załącznika.

1. Zamówienie do dostawcy Enterlaser nr ZD_0071_10_22

Dzień dobry,
w załączeniu przesyłamy zamówienie. Prosimy o wysyłkę w dniu dzisiejszzym- pilne.
Z poważaniem
Krzysztof Sojda
Dyrektor ds. rozwoju
EnterLaser sp. z o. o.

W załączniku mamy „Dokument_ZD_0071_10_22_pdf .img”, który montuje się jako napęd DVD w Windows, a w środku złośliwy plik EXE, będący trojanem-downloaderem.

2. BNP Paribas – wyciąg bankowy

Dzień dobry,
W załączeniu przelew bankowy z dnia 19 października 2022
Jeśli mieliby Państwo pytania, prosimy o kontakt pod numerem: 500 990 500.
Z pozdrowieniami
BNP Paribas Bank Polska S.A.Nasz system wysłał tę wiadomość automatycznie - prosimy na nią nie odpowiadać.
Z pozdrowieniami,
Szymon Machniak

3. zamówienie nr ZMW/SBizhub_C209261

Dzień dobry,
w załączeniu wysyłam zamówienie ZD/C209261/2022, proszę o przesłanie potwierdzenia przyjęcia zamówienia do realizacji.
Z poważaniem, / Best Regards,
Wiktoria Stelmach

ADRES WYSYŁKOWY:
ENERGOMET P.Z.I. i Z.
Gałowska 19A, Wrocław 54-530
tel. 601 570 249

4. Sygnatura akt I C /14

Prosimy o zapoznanie się z faktami, o które jesteście oskarżeni.
Jeśli tego nie zrobisz, będziemy zobowiązani do nieodwołalnego aresztowania Cię.
Skontaktuj się z nami poprzez następujący bezpieczny i prywatny adres : cyber-kgp@cbzc-policja-gov-pl.tech
Adam CIEŚLAK – Komendant Centralnego Biura Zwalczania Cyberprzestępczości

Za wyjątkiem ostatniego przykładu „na policję” mamy do czynienia ze złośliwym oprogramowaniem pobierającym dodatkowy payload. Nigdy nie wiadomo, co przestępca może „podczepić” na końcu: ransomware, backdoora, trojana bankowego. Dlatego przypominamy o stosowanej kulturze bezpieczeństwa.

Postaraj się zapamiętać!

Szczegółowy poradnik, jak rozpoznawać wiarygodność nadawcy oraz załączników wymaga, odmiennego podejścia do tematu i takie opracowanie udostępnimy naszym Bezpiecznym Czytelnikom – kliknij, aby zobaczyć, jak dołączyć do tego grona i odbierz darmowy poradnik PDF.

Przestępcy nie zawsze stosują wyrafinowane metody obchodzenia zabezpieczeń technicznych, ponieważ jest to kosztowne i coraz trudniejsze, gdyż producenci stosują coraz lepsze zabezpieczenia poprzez wykrywanie niebezpiecznego kodu dzięki maszynowego uczenia i zaawansowanej analizy. Dlatego oszuści skupiają swoją uwagę na człowieku, który może popełnić błędy i niepomyślnie „z rozpędu” uruchomi taki załącznik.

Chcemy udostępniać tego rodzaju informacje edukacyjne i docierać do mniej technicznych osób, ponieważ za cel obraliśmy sobie budowę świadomości obywateli z zakresu cyberbezpieczeństwa, ochrony danych osobowych, a także zagrożeń wynikających z postępu technologicznego. To ważne, aby zakorzeniać w świadomości każdego obywatela informacje, jak przeciwdziałać cyberprzestępczości!

Idź do oryginalnego materiału