Październik jest miesiącem, w którym obserwujemy wzrost liczby ataków socjotechnicznych, wykorzystujących mało popularne rozszerzenia plików, jako załączniki. Celem autorów spam-kampanii jest oszukać zabezpieczenia dostawców usług pocztowych oraz programy bezpieczeństwa, które chronią systemy operacyjne i dane użytkowników końcowych. Przesyłanie szkodliwych plików, ukrytych pod postacią archiwów z rozszerzeniem .ISO oraz .IMG, to jeden ze sposobów na ominięcie tak zwanego znacznika Mark of the Web (MOTW), który jest częścią metadanych pliku w systemie plików NTFS. Nie możesz go tak łatwo zobaczyć, bo jest ono częścią funkcji Alternate Data Streams (ADS), ale możesz je wyświetlić poleceniem w CMD:
dir nazwa_pliku.rozszerzenie /RMark of the Web (MOTW) oznacza specjalnym tagiem plik konkretną strefą Microsoftu, aby powiedzieć systemowi Windows albo pakietowi Office – „hej, ten plik został pobrany z internetu i powinien mieć ograniczone uprawnienia”.
Plik pobrany z Internetu we adekwatnościach powinien zawierać informację o MOTW.
Microsoft wyróżnia kilka stref dla plików wykonywalnych:
0 My Computer1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone (zaznaczone na obrazku powyżej)
4 Restricted Sites Zone
Skutkuje to na przykład tym, iż plik pobrany z URL w przeglądarce, przyjmuje wartość ZoneID=3, czyli tag Internet Zone, za pomocą którego „Windows wie”, iż technologia SmartScreen musi zablokować podejrzane oprogramowanie, o ile nie ma ono podpisu cyfrowego od zaufanego dostawcy certyfikatów.
Bardziej szczegółowo piszemy o MOTW w podsumowaniu testów bezpieczeństwa z maja 2022 roku. Plik wykonywalny z tagiem internetowym, pobrany przez dowolną przeglądarkę, może zostać zablokowany przez technologię SmartScreen z takim oto znanym dla wszystkich ostrzeżeniem:
Microsoft Defender SmartScreen – ostrzeżeniem przez niezaufanym plikiem.
Oczywiście do zablokowania pliku dochodzi wtedy, jeżeli jest uznany za podejrzany, szkodliwy, o małej reputacji i bez podpisu cyfrowego, co może wskazywać w pierwszej kolejności na malware (nie zawsze). Jest to prewencyjna technologia Microsoftu wbudowana w Windows i każdy ją posiada od Windows 7, z licznymi usprawnieniami w Windows 10 i Windows 11.
Dla przykładu w naszych testach obserwujemy następujące logi, które mogą dać dużo światła dla rozpatrywanego przykładu ze strefami Microsoftu. Poniżej podajemy kawałek logu z narzędzia Sysmon (używamy go w testach), które monitoruje w systemie wszystko to, co się dzieje podczas analizy malware. Jest to pierwszy etap, kiedy malware jest pobierane przez przeglądarkę do systemu.
W logu znajduje się: proces przeglądarki chrome.exe, domena z malware, nazwa pobranego pliku, suma kontrolna pliku, strefa ZoneID=3:
Autorzy spam-kampanii używają pewnych typów rozszerzeń dla załączników, aby oszukać strefy Microsoftu, a tym samym SmartScreen, ponieważ plik-malware zapakowany do archiwum .ISO, .IMG i innych, po rozpakowaniu nie zawiera żadnego z pięciu tagów, o których wspominamy wyżej.
Uściślając, przestępcy mogą używać mało popularnych rozszerzeń plików, aby obchodzić zabezpieczenia:
- SmartScreen i tym samym znacznik Mark Of The Web poprzez dostarczenie malware ukryte w archiwum z rozszerzeniem .ISO, .IMG (jako załącznik lub link do pobrania pliku).
- SmartScreen oraz MOTW poprzez osadzenie malware z rozszerzeniem maszyny wirtualnej .VHDX lub .VHD.
- Pododnie jak wyżej, ale z użyciem skompresowanych plików do archiwów: .arj, .gzip, .rar i innych.
- Po wypakowaniu archiwum (.ZIP, .RAR i innych) lub zamontowaniu jako napędu (.ISO, .IMG), pliki wykonywalne tracą swój znacznik. W taki sposób oszukuje się Microsoft SmartScreen.
Referencje: https://attack.mitre.org/techniques/T1553/005/
Podsumowując manualne wyłączenie technologii SmartScreen w Windows przekłada się na negatywne skutki ochrony, dlatego domyślnie powinno zostać ono włączone (przy czym oszukanie tej technologii przez cały czas będzie możliwe). W związku z powyższym rekomendujemy używanie dobrych rozwiązań antywirusowych.
Przykłady ataków socjotechnicznych (omijanie Mark of the Web)
Ataki socjotechniczne – październik 2022
W tym przeglądzie przedstawiamy kilka popularnych ataków socjotechnicznych, które polegają na wzbudzeniu u ofiary zaufania i wykorzystaniu nietypowych rozszerzeń plików, aby oszukać Microsoft SmartScreen.
Kampanie te mają na celu dostarczenie złośliwego systemu wykradającego informacje z komputerów pracowników urzędów oraz z komputerów użytkowników w ich własnych domach. Pamiętajcie, aby nie polegać na własnych domysłach, ale sprawdzać i weryfikować, a w razie niepewności kontaktować się z nami, przesyłając próbkę spamu lub samego załącznika.
1. Zamówienie do dostawcy Enterlaser nr ZD_0071_10_22
Dzień dobry,w załączeniu przesyłamy zamówienie. Prosimy o wysyłkę w dniu dzisiejszzym- pilne.
Z poważaniem
Krzysztof Sojda
Dyrektor ds. rozwoju
EnterLaser sp. z o. o.
W załączniku mamy „Dokument_ZD_0071_10_22_pdf .img”, który montuje się jako napęd DVD w Windows, a w środku złośliwy plik EXE, będący trojanem-downloaderem.
2. BNP Paribas – wyciąg bankowy
Dzień dobry,W załączeniu przelew bankowy z dnia 19 października 2022
Jeśli mieliby Państwo pytania, prosimy o kontakt pod numerem: 500 990 500.
Z pozdrowieniami
BNP Paribas Bank Polska S.A.Nasz system wysłał tę wiadomość automatycznie - prosimy na nią nie odpowiadać.
Z pozdrowieniami,
Szymon Machniak
3. zamówienie nr ZMW/SBizhub_C209261
Dzień dobry,w załączeniu wysyłam zamówienie ZD/C209261/2022, proszę o przesłanie potwierdzenia przyjęcia zamówienia do realizacji.
Z poważaniem, / Best Regards,
Wiktoria Stelmach
ADRES WYSYŁKOWY:
ENERGOMET P.Z.I. i Z.
Gałowska 19A, Wrocław 54-530
tel. 601 570 249
4. Sygnatura akt I C /14
Prosimy o zapoznanie się z faktami, o które jesteście oskarżeni.Jeśli tego nie zrobisz, będziemy zobowiązani do nieodwołalnego aresztowania Cię.
Skontaktuj się z nami poprzez następujący bezpieczny i prywatny adres : cyber-kgp@cbzc-policja-gov-pl.tech
Adam CIEŚLAK – Komendant Centralnego Biura Zwalczania Cyberprzestępczości
Za wyjątkiem ostatniego przykładu „na policję” mamy do czynienia ze złośliwym oprogramowaniem pobierającym dodatkowy payload. Nigdy nie wiadomo, co przestępca może „podczepić” na końcu: ransomware, backdoora, trojana bankowego. Dlatego przypominamy o stosowanej kulturze bezpieczeństwa.
Postaraj się zapamiętać!
Szczegółowy poradnik, jak rozpoznawać wiarygodność nadawcy oraz załączników wymaga, odmiennego podejścia do tematu i takie opracowanie udostępnimy naszym Bezpiecznym Czytelnikom – kliknij, aby zobaczyć, jak dołączyć do tego grona i odbierz darmowy poradnik PDF.
Przestępcy nie zawsze stosują wyrafinowane metody obchodzenia zabezpieczeń technicznych, ponieważ jest to kosztowne i coraz trudniejsze, gdyż producenci stosują coraz lepsze zabezpieczenia poprzez wykrywanie niebezpiecznego kodu dzięki maszynowego uczenia i zaawansowanej analizy. Dlatego oszuści skupiają swoją uwagę na człowieku, który może popełnić błędy i niepomyślnie „z rozpędu” uruchomi taki załącznik.
Chcemy udostępniać tego rodzaju informacje edukacyjne i docierać do mniej technicznych osób, ponieważ za cel obraliśmy sobie budowę świadomości obywateli z zakresu cyberbezpieczeństwa, ochrony danych osobowych, a także zagrożeń wynikających z postępu technologicznego. To ważne, aby zakorzeniać w świadomości każdego obywatela informacje, jak przeciwdziałać cyberprzestępczości!
