Elastic Security Labs представила ряд техник, которые злоумышленники могут использовать для выполнения вредоносных приложений, обходя предупреждения безопасности Windows. Среди этих методов есть один, который используется уже шесть лет, что привлекает внимание к уязвимостям в защитных мерах операционной системы.
Обход защиты Windows
Исследование, проведенное под руководством технического лидера Elastic Джо Десимоне, углубляется в стратегии обхода Windows SmartScreen и Smart App Control (SAC). Эти встроенные защиты предназначены для защиты пользователей от потенциально вредоносного программного обеспечения, загруженного из интернета, особенно в Windows 8 и 11. Одна из заметных техник, выявленных Десимоне, называется "LNK Stomping". Она эксплуатирует уязвимость в том, как Windows обрабатывает файлы ярлыков (.LNK), эффективно нейтрализуя метку Mark of the Web (MotW) — цифровой ярлык, указывающий на то, что файл может быть опасен при выполнении.
SmartScreen сканирует только файлы, которые несут метку MotW, в то время как SAC блокирует определенные типы файлов, помеченные таким образом. Таким образом, любой метод, который может обойти MotW, становится значительным преимуществом для тех, кто хочет развернуть вредоносное ПО.
Хотя это не первый метод обхода MotW, его долговечность и легкость эксплуатации заслуживают внимания со стороны защитников кибербезопасности. Десимоне подчеркнул, что понимание этой техники имеет решающее значение, несмотря на то что Elastic еще не получила конкретных обещаний по смягчению от Microsoft, которая указала, что исправление может быть выпущено в будущих обновлениях.
"Тривиальная" природа этой техники включает создание LNK-файлов с нетрадиционными путями к целевым файлам или внутренними структурами. Это побуждает Windows Explorer исправлять эти незначительные несоответствия перед запуском вредоносного приложения. При этом метка MotW удаляется, позволяя SmartScreen и SAC игнорировать потенциальную угрозу.
Десимоне отметил, что простой способ вызвать эту уязвимость — добавить точку или пробел в путь к целевому исполняемому файлу, например target.exe. или .target.exe. Windows Explorer распознает ошибку, ищет фактический исполняемый файл, исправляет путь и затем удаляет метку MotW.
"Мы выявили несколько образцов в VirusTotal, демонстрирующих использование этой уязвимости в дикой природе," отметил Десимоне. "Самый старый образец был отправлен более шести лет назад. Мы также раскрыли детали этой уязвимости Центру реагирования на угрозы безопасности Microsoft (MSRC) и выпускаем эту информацию вместе с логикой обнаружения и мерами противодействия для помощи защитникам до выпуска патча."
В ожидании патча специалистам по безопасности рекомендуется усовершенствовать свои стратегии обнаружения для устранения уязвимостей, выявленных SmartScreen и SAC.
Другие методы обхода
SmartScreen и SAC полагаются на защиту на основе репутации, и исторически одним из более сложных методов обхода этих систем было подписание вредоносного приложения с помощью сертификата подписи кода. Хотя получение таких сертификатов должно быть сложным, учитывая, что удостоверяющие центры должны выдавать их только законным предприятиям, это остается возможной тактикой.
Десимоне также указал на несколько дополнительных методов обхода защиты на основе репутации. Один из таких методов, названный Reputation Hijacking, включает идентификацию легитимной программы с сильной репутацией и манипулирование ею в злонамеренных целях. Скриптовые хосты особенно уязвимы для такого типа атаки, но любое приложение, которое можно контролировать без общих параметров командной строки, также находится под угрозой. Наличие интерфейса внешней функции (FFI) увеличивает потенциал загрузки вредоносного кода в память, делая интерпретаторы вроде Lua, Node.js и AutoHotkey основными целями для эксплуатации.