Недавние исследования выявили уязвимости в системе Windows SmartScreen, которая дебютировала с Windows 8, и её преемнике, Smart App Control (SAC). Разработанные для усиления защиты от вредоносных приложений, SAC стремится обеспечить улучшенную защиту, блокируя недоверенные программы. Однако исследователи обнаружили новые методы, которые могут позволить злоумышленникам обходить эти системные меры безопасности без срабатывания каких-либо предупреждений.
Windows Smart App Control и SmartScreen
При активации SAC заменяет и отключает Defender SmartScreen, в то время как Microsoft предоставила недокументированные API, которые позволяют оценивать уровень доверия к файлу как в SmartScreen, так и в SAC. Эта доступность позволила исследователям создать инструменты, которые могут более эффективно оценивать надёжность файлов.
Исследователи из Elastic Labs углубились в методы эксплуатации систем на основе репутации и LNK (ярлыков) файлов для получения несанкционированного доступа к устройствам.
Эксплуатация систем репутации для обхода SmartScreen
Один из заметных методов обхода SAC включает использование легитимных сертификатов подписи кода для подписания вредоносного ПО. Злоумышленники всё чаще приобретают сертификаты расширенной проверки (Extended Validation), которые требуют проверки личности, выдавая себя за легитимные компании. Примером может служить группа угроз SolarMarker, которая использовала более 100 различных сертификатов подписи в своих операциях.
Другой подход, называемый захватом репутации, использует доверенные приложения для обхода протоколов безопасности. Скриптовые хосты с интерфейсами иностранных функций, такие как интерпретаторы Lua и Node.js, особенно уязвимы для этой тактики. Используя эти доверенные приложения, злоумышленники могут загружать и выполнять вредоносный код без поднятия тревоги.
Обнаружение захвата репутации может быть сложным, учитывая множество приложений, которые могут быть использованы для этой цели. Однако команды безопасности могут разрабатывать поведенческие сигнатуры для идентификации общих категорий скомпрометированного ПО. Например, они могут отслеживать общие имена функций или модули Lua или Node.js в подозрительных стэках вызовов или использовать локальные системы репутации для выявления аномалий, требующих дальнейшего изучения.
Уязвимость LNK файлов и стратегии обнаружения
Была обнаружена значительная уязвимость в обработке Windows LNK (ярлыков) файлов. Создавая LNK файлы с необычными путями к целям, злоумышленники могут обходить проверки Mark of the Web (MotW), эффективно избегая защиты, предлагаемой SmartScreen и SAC. Этот недостаток, который существует уже как минимум шесть лет, позволяет выполнять произвольный код без срабатывания предупреждений безопасности.
Для снижения этих рисков команды безопасности должны применять многоуровневые стратегии обнаружения. Это включает каталогизацию и блокировку известных злоупотребляемых приложений, разработку поведенческих сигнатур для распознавания подозрительной активности и постоянный мониторинг загружаемых файлов. Например, команды могут устанавливать правила для обнаружения общих имён функций или модулей, связанных с скомпрометированными скриптовыми хостами в стэках вызовов. Дополнительно, акцент на локальных системах репутации может помочь в выявлении аномалий в среде, требующих более тщательного изучения.
Важно, чтобы команды безопасности проводили тщательную проверку загрузок в рамках своих систем обнаружения, а не полагались исключительно на встроенные функции безопасности ОС для защиты от этих уязвимостей. Исследователи подчёркивают, что методы уклонения в памяти, сохранения присутствия, доступа к учетным данным, перечисления и бокового перемещения могут быть полезны для выявления техник захвата репутации в практических сценариях.