Malware μέσω του Windows Update και όμως είναι δυνατόν

Η κυβερνητική hacking ομάδα Lazarus της Βόρειας Κορέας πρόσθεσε άλλο ένα εργαλείο στο οπλοστάσιό της. Αυτή τη φορά πρόκειται για ένα client που χρησιμοποιεί την τεχνική living-off-the-land binaries (LoLBins) για να τρέχει κακόβουλο κώδικα σε συστήματα με Windows.

Η νέα μέθοδος ανάπτυξης κακόβουλου λογισμικού ανακαλύφθηκε από την ομάδα Threat Intelligence κατά την ανάλυση μιας εκστρατείας spearphishing τον Ιανουάριο που υποστήριζε ότι ήταν η αμερικανική εταιρεία ασφάλειας και αεροδιαστημικής Lockheed Martin.

Αν τα θύματα ανοίξουν τα κακόβουλα συνημμένα έγγραφα του Word και ενεργοποιήσουν την εκτέλεση μακροεντολών, μια μακροεντολή ρίχνει ένα αρχείο WindowsUpdateConf.lnk στον φάκελο εκκίνησης (startup) και ένα αρχείο DLL (wuaueng.dll) σε έναν κρυφό φάκελο του Windows/System32.

attackflow

Στο επόμενο στάδιο, το αρχείο LNK χρησιμοποιείται για την εκκίνηση του WSUS / Windows Update client (wuauclt.exe) που τρέχει μια άλλη εντολή για να φορτώσει το κακόβουλο DLL των εισβολέων.

“Είναι μια ενδιαφέρουσα τεχνική που χρησιμοποιείται από την Lazarus για να τρέξουν το κακόβουλο DLL του χρησιμοποιώντας το Windows Update Client και να παρακάμψουν τους μηχανισμούς ανίχνευσης ασφαλείας”, αναφέρει η Malwarebytes.

  Microsoft Defender βλέπει σαν malware εφαρμογές Electron ή Chromium

Οι ερευνητές συνέδεσαν αυτές τις επιθέσεις με την ομάδα Lazarus με βάση πολλά στοιχεία, όπως τις επικαλύψεις των υποδομών-τεχνικών τους, τα μεταδεδομένα των εγγράφων και την παρόμοια στόχευση με προηγούμενες εκστρατείες.

Αυτή η τακτική ανακαλύφθηκε από τον ερευνητή της MDSec, David Middlehurst, ο οποίος διαπίστωσε ότι οι εισβολείς μπορούσαν να χρησιμοποιήσουν έναν Windows Update client για να τρέξουν κακόβουλο κώδικα σε συστήματα με .

Αυτό μπορεί να γίνει φορτώνοντας ένα ειδικά δημιουργημένο DLL και χρησιμοποιώντας την παρακάτω γραμμή εντολών (η εντολή που χρησιμοποίησε η Lazarus για να φορτώσει το κακόβουλο φορτίο της):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Η MITER ATT&CK αναφέρει ότι η επίθεση χρησιμοποιεί ένα τρόπο αμυντικής στρατηγικής αποφυγής που είναι γνωστός σαν Signed Binary Proxy Execution και επιτρέπει στους εισβολείς να παρακάμψουν το λογισμικό ασφαλείας, τον έλεγχο των εφαρμογών και την προστασία επικύρωσης του ψηφιακού πιστοποιητικού, αφού τα πάντα γίνονται μέσω του Windows Update.

Η ομάδα Lazarus (αποκαλείται και HIDDEN COBRA από τις υπηρεσίες πληροφοριών των ΗΠΑ) είναι μια βορειοκορεατική στρατιωτική ομάδα hacking που δραστηριοποιείται για περισσότερο από μια δεκαετία, τουλάχιστον από το 2009.

malware,windows update,iguru

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).