Malware μέσω του Windows Update και όμως είναι δυνατόν

Η κυβερνητική hacking ομάδα Lazarus της Βόρειας Κορέας πρόσθεσε άλλο ένα εργαλείο στο οπλοστάσιό της. Αυτή τη φορά πρόκειται για ένα Windows Update client που χρησιμοποιεί την τεχνική living-off-the-land binaries (LoLBins) για να τρέχει κακόβουλο κώδικα σε συστήματα με Windows.

Η νέα μέθοδος ανάπτυξης κακόβουλου λογισμικού ανακαλύφθηκε από την ομάδα Malwarebytes Threat Intelligence κατά την ανάλυση μιας εκστρατείας spearphishing τον Ιανουάριο που υποστήριζε ότι ήταν η αμερικανική εταιρεία ασφάλειας και αεροδιαστημικής Lockheed Martin.

Αν τα θύματα ανοίξουν τα κακόβουλα συνημμένα έγγραφα του Word και ενεργοποιήσουν την εκτέλεση μακροεντολών, μια μακροεντολή ρίχνει ένα αρχείο WindowsUpdateConf.lnk στον φάκελο εκκίνησης (startup) και ένα αρχείο DLL (wuaueng.dll) σε έναν κρυφό φάκελο του Windows/System32.

attackflow

Στο επόμενο στάδιο, το αρχείο LNK χρησιμοποιείται για την εκκίνηση του WSUS / Windows Update client (wuauclt.exe) που τρέχει μια άλλη εντολή για να φορτώσει το κακόβουλο DLL των εισβολέων.

“Είναι μια ενδιαφέρουσα τεχνική που χρησιμοποιείται από την Lazarus για να τρέξουν το κακόβουλο DLL του χρησιμοποιώντας το Windows Update Client και να παρακάμψουν τους μηχανισμούς ανίχνευσης ασφαλείας”, αναφέρει η Malwarebytes.

  Προσοχή, εμφανίστηκαν Ransomware για συσκευές Android

Οι ερευνητές συνέδεσαν αυτές τις επιθέσεις με την ομάδα Lazarus με βάση πολλά στοιχεία, όπως τις επικαλύψεις των υποδομών-τεχνικών τους, τα μεταδεδομένα των εγγράφων και την παρόμοια στόχευση με προηγούμενες εκστρατείες.

Αυτή η τακτική ανακαλύφθηκε από τον ερευνητή της MDSec, David Middlehurst, ο οποίος διαπίστωσε ότι οι εισβολείς μπορούσαν να χρησιμοποιήσουν έναν Windows Update client για να τρέξουν κακόβουλο κώδικα σε συστήματα με Windows 10.

Αυτό μπορεί να γίνει φορτώνοντας ένα ειδικά δημιουργημένο DLL και χρησιμοποιώντας την παρακάτω γραμμή εντολών (η εντολή που χρησιμοποίησε η Lazarus για να φορτώσει το κακόβουλο φορτίο της):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Η MITER ATT&CK αναφέρει ότι η επίθεση χρησιμοποιεί ένα τρόπο αμυντικής στρατηγικής αποφυγής που είναι γνωστός σαν Signed Binary Proxy Execution και επιτρέπει στους εισβολείς να παρακάμψουν το λογισμικό ασφαλείας, τον έλεγχο των εφαρμογών και την προστασία επικύρωσης του ψηφιακού πιστοποιητικού, αφού τα πάντα γίνονται μέσω του Windows Update.

Η ομάδα Lazarus (αποκαλείται και HIDDEN COBRA από τις υπηρεσίες πληροφοριών των ΗΠΑ) είναι μια βορειοκορεατική στρατιωτική ομάδα hacking που δραστηριοποιείται για περισσότερο από μια δεκαετία, τουλάχιστον από το 2009.

Εγγραφή στο iGuRu.gr μέσω email

Το email σας για την αποστολή κάθε νέας δημοσίευσης

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Αφήστε μια απάντηση

Your email address will not be published.

  +  41  =  51

Previous Story

Εντολές εκτέλεσης στα Windows 10

Next Story

Messenger κρυπτογράφηση end-to-end (E2E) σε ομαδικές συνομιλίες και κλήσεις