把舊系統的利用漏洞方式移施現代系統

利用合法程式或操作系統功能進行有害的行為(Living off the Land攻擊),其實並非新的手法,很多專家也一直追蹤受有關攻擊影響的軟件,因此網絡犯罪份子也需要尋求新突破,有研究員就在RSA 2021中分享,利用Windows XP的元件和程式在現代系統中作惡。

Windows XP元件和LotL攻擊

研究人員Boutin和Hromcova在研究InvisiMole組織的時候,發現該組織的工具用到過時已久的操作系統,去讓他們逃避偵測,研究人員把這類檔案稱為VULNBins,與LOLBins類似的名字,網絡保安社群用來分類LotL攻擊所用到的檔案。

要把過期的檔案下載到受害者的電腦,自然需要取得該電腦的存取,但VULNBins通常用於潛伏在目標系統不被發現,而非正式的滲透。

使用過期程式和系統元件的特定例子

如果攻擊者無法取得管理員權限,他們便可能會使用策略以延續持久性,當中涉及使用舊影片播放器已知的超載漏洞,通過Task Scheduler製作定期工作召換播放器,讓設定已修改至利用安全漏洞,讀取下階段攻擊時需要的編碼。

如果InvisiMole攻擊者成功取得管理員權限,他們可以使用其他方法,通過全法系統元件setupSNK.exe、wdigest.dll和Rundll32.exe去讀取函數庫,然後操縱進入記憶體的函數庫資料,由於函數庫建立早於ASLR應用程式的技術,所以網絡攻擊者知道記憶體中會讀取的正確地址。

他們以加密的方式儲存大部份惡意內容在Registry,然後他們使用的所有函數庫和執行程式都是合法的,因此被利用的檔案含播放器設定,以及指向過期函數庫的小漏洞,通常這些情況都不會引起保安系統的懷疑。

保持安全的要點

為了防範網絡犯罪份子利用舊檔案和過時的系統元件 (特別是由合法發行商簽發的),具備這類型的資料庫是一個好開始,它能讓現有的防禦措施懂得封鎖或至少追蹤他們(如果因某些原因不能封鎖),但這需要時間才能達成,在這之前可以利用Endpoint Detection and Response型式的方案:

  • 偵測和封鎖位執行於系統資料格以外位置的Windows元件
  • 辨別沒有數碼簽章的系統檔案
  • 建立偵測不同OS系統和每個執行檔版本的規則
  • 為其他應用程式建立相似的規則

正如上文提到,要下載某些東西到受害者的電腦,攻擊者首先要取得存取權限,要防止VULNBins進入workstation,所有連接互聯網的裝置都應該安裝保安方案,提升同事的網絡安全意識也同樣重要,之後就是嚴密監控遙距存取的工具。

資料來源:Kaspersky blog