- PVSM.RU - https://www.pvsm.ru -
Злоумышленники твердо намерены применять для обхода средств защиты все более сложные методы. Использование бесфайловых вредоносных программ повышает незаметность и эффективность атаки. В прошлом году бесфайловые методы применялись в ходе двух крупномасштабных кампаний по распространению программ-вымогателей (Petya [1] и WannaCry [2]).
В основе бесфайловых атак лежит простая идея: если на устройстве уже имеются средства, способные выполнить задачи злоумышленника (например, PowerShell.exe или wmic.exe), то зачем размещать на нем специальные программы, которые могут быть распознаны как вредоносные? Если злоумышленник сможет перехватить управление процессом, запустить в пространстве памяти такого процесса свой код и использовать его для вызова средств, которые уже имеются на устройстве, обнаружить атаку будет сложнее.
Успешное применение данного подхода с использованием локальных ресурсов представляет собой сложную задачу. Помимо прочего, злоумышленникам необходимо решить проблему сохраняемости. При выключении питания информация в памяти не сохраняется, и, если файлы не записаны на диске, перед злоумышленниками встает вопрос: как обеспечить автозапуск своего кода и сохранить контроль над скомпрометированной системой после перезагрузки?
В апреле 2016 года в группу Microsoft по реагированию на инциденты обратился клиент по поводу кибервымогательства. Злоумышленники требовали от него значительную сумму за то, чтобы не публиковать конфиденциальную корпоративную информацию, похищенную со скомпрометированных компьютеров клиента. При этом они угрожали «раздавить» его сеть, если клиент обратится в правоохранительные органы. Ситуация была сложной.
Справка
Количество обнаружений Misfox [3] средствами Windows Defender Antivirus в II квартале 2017 года по сравнению с I кварталом того же года выросло более чем в два раза.
Группа Microsoft по реагированию на инциденты исследовала компьютеры в сети, обнаружила целевые импланты и проанализировала степень компрометации. Клиент использовал известный сторонний антивирусный продукт, который был установлен на большинстве компьютеров. Несмотря на обновление с последними версиями сигнатур, антивирус не обнаружил ни один из целевых имплантов.
Также исследователи Microsoft узнали, что злоумышленники дважды пытались зашифровать файлы при помощи программы-вымогателя. К счастью, эти попытки не удались. Как выяснилось, угроза уничтожить сеть представляла собой «план Б» по извлечению прибыли из атаки на случай, если «план А» не сработает.
Более того, исследователи также обнаружили, что злоумышленники скрытно присутствовали в сети уже минимум семь месяцев, используя для этого два разных канала.
Пора отключать PowerShell?
Нет. PowerShell — это мощный и безопасный инструмент, который важен для многих функций системы и ИТ-инфраструктуры. Используемые злоумышленниками вредоносные сценарии PowerShell являются последствием внедрения вредоносных программ и могут быть реализованы только после осуществления первичной компрометации. Злонамеренное использование PowerShell — симптом атаки, которая началась с других вредоносных действий, таких как использование уязвимостей программного обеспечения, применение методов социальной инженерии или хищение учетных данных. Поэтому нужно не дать злоумышленникам использовать PowerShell в своих целях. О том, как обеспечить такую защиту, читайте дальше.
Вторым инструментом оказалась бесфайловая вредоносная программа под названием Misfox [3]. При выполнении в памяти Misfox делала следующее:
Misfox не размещала на компьютере исполняемых файлов, однако сценарий, записанный в реестре, обеспечивал сохраняемость вредоносной программы.
Misfox представляет собой пример того, как в последовательность этапов кибератаки могут быть встроены бесфайловые компоненты. Злоумышленники используют разные бесфайловые методы, которые затрудняют обнаружение вредоносных имплантов. Среди них:
Microsoft 365 [9] включает набор технологий безопасности нового поколения для защиты устройств, приложений SaaS, электронной почты и инфраструктуры от широкого спектра атак. Ниже перечислены компоненты Microsoft 365, связанные с Windows, которые позволяют обнаруживать бесфайловые атаки и предотвращать заражение.
Совет
Наряду со специальными средствами защиты от бесфайловых атак Windows 10 включает и другие технологии безопасности нового поколения для противодействия атакам в целом. Например, Windows Defender Application Guard [10] позволяет остановить загрузку и запуск вредоносных программ (как бесфайловых, так и иных) через Microsoft Edge и Internet Explorer. Подробнее о функциях безопасности и управления Microsoft 365, представленных в обновлении Windows 10 Fall Creators Update, вы можете прочитать здесь [9].
Windows Defender Antivirus (WDAV) [11] блокирует подавляющее большинство вредоносных программ при помощи общих, эвристических и поведенческих методов обнаружения, используя как локальные, так и облачные модели машинного обучения. Windows Defender Antivirus обеспечивает защиту от вредоносного ПО за счет следующих возможностей:
Windows Defender Exploit Guard (WDEG) [13] — это новый набор функций для защиты от вторжения на уровне хостов, который помогает уменьшить уязвимую зону, блокируя широкий спектр векторов атаки на устройство. Для остановки бесфайловых атак используются следующие способы:
Совет
В дополнение к техническим средствам контроля важен также эффективный административный контроль сотрудников и процессов. Чтобы использовать на удаленном компьютере бесфайловые техники с применением сценариев PowerShell и инструментария WMI, злоумышленнику необходим привилегированный доступ к такому компьютеру. Такой доступ можно получить, если применяются недостаточно безопасные методы администрирования (например, настройка выполнения службы Windows в контексте учетной записи администратора домена), которые позволяют похитить учетные данные. Подробнее об обеспечении безопасности привилегированного доступа читайте здесь [16].
Windows Defender Application Control (WDAC) [17] предлагает механизм для реализации строгих политик обеспечения целостности кода и разрешает выполнение только доверенных приложений. Для борьбы с бесфайловыми атаками этот компонент переводит PowerShell в режим ограниченного языка [18], который не дает использовать расширенные средства языка, способные запустить код, который невозможно проверить, — например, прямые сценарии .NET, вызов API Win32 через командлет Add-Type и взаимодействие с COM-объектами. Это эффективно предотвращает атаки с рефлексивным внедрением библиотек DLL через PowerShell.
Служба Windows Defender Advanced Threat Protection (WDATP) [19] — это интегрированная платформа средств защиты рабочих мест (Windows Endpoint Protection, EPP) и средств обнаружения атак на конечные точки и реагирования на эти атаки (Endpoint Detection and Response, EDR). Если безопасность системы уже нарушена, ATP оповещает пользователей компании об изощренных атаках повышенной сложности на устройства и корпоративные сети, которые не удалось предотвратить при помощи других профилактических средств защиты. Для обнаружения таких атак служба использует подробные данные из глобальных систем безопасности, расширенный анализ поведения и машинное обучение. Она позволяет обнаружить бесфайловые вредоносные программы несколькими способами:
Согласно результатам независимого эксперта в сфере безопасности NSS Labs [21], браузер Microsoft Edge блокирует больше фишинговых сайтов и вредоносного ПО [22], использующего методы социальной инженерии, чем другие браузеры. Microsoft Edge противодействует бесфайловым атакам благодаря функциям защиты от произвольного кода [23], которые блокируют выполнение произвольного кода, включая вредоносные библиотеки DLL. Это помогает избежать атак с рефлексивным внедрением библиотек DLL. Кроме того, Microsoft Edge предоставляет широкий набор средств защиты от бесфайловых и иных угроз благодаря интеграции Windows Defender Application Guard [24] и технологии Windows Defender SmartScreen.
Заид Арафех (Zaid Arafeh)
Старший менеджер программы, исследовательская группа Windows Defender
Первоисточник [25]
Автор: Andrey_Kalugin
Источник [26]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/dll/276519
Ссылки в тексте:
[1] Petya: https://cloudblogs.microsoft.com/microsoftsecure/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
[2] WannaCry: https://cloudblogs.microsoft.com/microsoftsecure/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
[3] Misfox: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:Win32/Misfox
[4] Swrort.A: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Swrort.A
[5] Рефлексивное внедрение библиотек DLL: https://blogs.technet.microsoft.com/mmpc/2017/11/13/detecting-reflective-dll-loading-with-windows-defender-atp/
[6] HackTool:Win32/Mikatz!dha: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=HackTool:Win32/Mikatz!dha
[7] UIWIX: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Uiwix.A!rsm
[8] этой статье: https://www.blackhat.com/docs/us-15/materials/us-15-Graeber-Abusing-Windows-Management-Instrumentation-WMI-To-Build-A-Persistent%20Asynchronous-And-Fileless-Backdoor-wp.pdf
[9] Microsoft 365: https://blogs.windows.com/business/2017/10/23/microsoft-365-security-management-features-available-windows-10-fall-creators-update/?ocid=cx-blog-mmpc
[10] Windows Defender Application Guard: https://blogs.technet.microsoft.com/mmpc/2017/10/23/making-microsoft-edge-the-most-secure-browser-with-windows-defender-application-guard/
[11] Windows Defender Antivirus (WDAV): https://www.microsoft.com/en-us/windows/windows-defender?ocid=cx-blog-mmpc
[12] AMSI: https://blogs.technet.microsoft.com/mmpc/2015/06/09/windows-10-to-offer-application-developers-new-malware-defenses/
[13] Windows Defender Exploit Guard (WDEG): https://blogs.technet.microsoft.com/mmpc/2017/10/23/windows-defender-exploit-guard-reduce-the-attack-surface-against-next-generation-malware/
[14] модуля защиты от эксплойтов: https://docs.microsoft.com/ru-ru/windows/threat-protection/windows-defender-exploit-guard/exploit-protection-exploit-guard
[15] уменьшения уязвимой зоны (ASR): https://docs.microsoft.com/ru-ru/windows/threat-protection/windows-defender-exploit-guard/attack-surface-reduction-exploit-guard
[16] здесь: https://docs.microsoft.com/ru-ru/windows-server/identity/securing-privileged-access/securing-privileged-access
[17] Windows Defender Application Control (WDAC): https://blogs.technet.microsoft.com/mmpc/2017/10/23/introducing-windows-defender-application-control/
[18] режим ограниченного языка: https://blogs.msdn.microsoft.com/powershell/2017/11/02/powershell-constrained-language-mode/
[19] Windows Defender Advanced Threat Protection (WDATP): https://www.microsoft.com/ru-ru/WindowsForBusiness/windows-atp
[20] интерфейса противовредоносного сканирования AMSI: https://blogs.technet.microsoft.com/mmpc/2017/12/04/windows-defender-atp-machine-learning-and-amsi-unearthing-script-based-attacks-that-live-off-the-land/
[21] NSS Labs: https://www.nsslabs.com/
[22] блокирует больше фишинговых сайтов и вредоносного ПО: https://www.microsoft.com/ru-ru/download/details.aspx?id=54773
[23] защиты от произвольного кода: https://blogs.windows.com/msedgedev/2017/02/23/mitigating-arbitrary-native-code-execution/
[24] Windows Defender Application Guard: https://cloudblogs.microsoft.com/microsoftsecure/2017/10/23/making-microsoft-edge-the-most-secure-browser-with-windows-defender-application-guard/
[25] Первоисточник: https://cloudblogs.microsoft.com/microsoftsecure/2018/01/24/now-you-see-me-exposing-fileless-malware/
[26] Источник: https://habrahabr.ru/post/352376/?utm_campaign=352376
Нажмите здесь для печати.