現代系統面臨的”前朝之劍”
LotL攻擊(Living off the Land–type attack)已經不算新鮮事了,它指的是利用合法程式或合法的操作系統功能發起的惡意行為。 然而,隨著網路專家對易受LotL攻擊的現代軟體嚴加管控,不法分子只能另覓新徑。 在2021年度RSA大會上,研究員 Jean-Ian Boutin 和 Zuzana Hromcova 提到了網路罪犯的新招數,即利用合法的 Windows XP 系統元件和程式實施攻擊。
█ LotL攻擊與易受攻擊的 Windows XP 元件
通過對間諜軟體InvisiMole幕後黑手的研究,Boutin 和 Hromcova 指出,InvisiMole 工具通過使用早已過時的作業系統下的檔來隱藏自己的行蹤。 研究人員將這類檔案命名為 VULNBins,與 LOLBins 這一名稱類似,是安全社區對於在LotL攻擊中使用的一類檔的統稱。
當然,想要將過時檔下載到受害者的計算機上,需要先獲得計算機的訪問許可權。 而VULNBins 檔常常會被神不知鬼不覺地植入到目標系統中,用於打入內部,而不是實際的滲透攻擊。
█使用過時程式與系統元件的具體案例
如果攻擊者未能取得管理員許可權,他們就有可能略施小計以打入內部,比如使用一種舊版本的、帶有緩存溢出漏洞的視頻播放機。 不法分子通過任務計劃程式,創建一個定期的計劃任務喚醒播放機,而該播放機的配置檔已被篡改,利用該漏洞載入惡意代碼,以實施下一步攻擊。
然而,使用InvisiMole 的攻擊者一旦奪取了管理員許可權,就可以採取另一種手段,如使用合法的系統元件 setupSNK.exe,Windows XP 庫中的 wdigest.dll,以及 Rundll32.exe (同樣源自過時系統)用於執行該庫。 然後便可操縱從庫中載入到記憶體中的數據。 Windows XP 庫是在「地址空間配置隨機載入」(ASLR)技術得到應用之前創建的,因此不法分子知道被載入到記憶體中內容的確切位址。
通過使用完全合法的資料庫和可執行文件,他們將大部分惡意內容以加密形式存入註冊表中。 因此,促成攻擊的罪魁禍首,就是那些包含播放機設定資訊的檔,以及過時的 Windows 庫中的小小漏洞。 通常情況下,這些行為可以躲過安全系統的眼線。
█如何確保安全
為防止不法分子利用舊版本檔和過時的系統元件發動攻擊(尤其是具有合法簽名的過時元件),這裡建議您將此類文件的資料庫搞到手。 這樣一來,就能使目前的安全防護程式對其阻止,至少可以跟蹤其行為(在某些情況下無法阻止)。 這樣做已經算是邁出了一步。
您可以使用此資料的資料庫尚未整理出來,建議您使用我們的卡巴斯基端點偵測和回應,這樣就能:
- 檢測並阻止系統資料夾以外 Windows 元件的執行;
- 識別沒有簽名的系統檔。 某些系統檔沒有唯一的數位簽名而是使用目錄檔簽名,然而對於被移動到系統的外部系統檔,如果缺少 .cat 檔,會被識別為沒有簽名;
- 建立一套規則,以檢測操作系統版本與每一個可執行檔版本之間的差異;
- 為其他應用程式創建一套類似規則,比如可以阻止在十多年前編寫的檔。
正如上文所述,要想把某些內容下載到受害者的計算機上,攻擊者需要先獲得訪問許可權。 為防止任何VULNBins 檔被下載到您的工作站上,請在所有接入網路的設備上安裝安全解決方案,培養員工在現代網路攻擊領域的安全意識,並密切監視遠端存取工具。