Elastic Security Labs ha revelado una serie de métodos disponibles para los atacantes que desean ejecutar aplicaciones maliciosas sin activar las advertencias de seguridad de Windows, incluido uno que está en uso desde hace seis años.
La investigación se centró en formas de eludir Windows SmartScreen y Smart App Control (SAC), las protecciones integradas contra la ejecución de software potencialmente desagradable descargado de la web en Windows 8 y 11 respectivamente.
Entre las técnicas descubiertas por Joe Desimone, director técnico de Elastic, se encontraba una que denominó “LNK Stomping”, un error en la forma en que se manejan los archivos de acceso directo de Windows (.LNK) que anula los permisos de Windows. Marca de la Web (MotW): una etiqueta digital que se coloca en los archivos descargados y que podría ser maliciosa si se ejecuta.
SmartScreen solo escanea archivos etiquetados con MotW y SAC está configurado para bloquear ciertos tipos de archivos si están marcados, por lo que cualquier método que pueda eludir MotW naturalmente será una bendición para los malhechores de malware.
Esta está lejos de ser la primera técnica de derivación de MotW que se ha introducido. encima el añospero el hecho de que haya estado en uso durante tanto tiempo y, como dijo Desimone, sea “trivial” de explotar, hace que valga la pena que los defensores se tomen un tiempo para comprender cómo funciona.
Pero eso es todo lo que se puede ofrecer hasta ahora: comprensión. El investigador dijo que Elastic se comunicó con Microsoft para mitigar el problema y el gigante tecnológico dijo que podría solucionarse en una fecha posterior, sin promesas de parches.
Esta técnica “trivial” implica la creación de archivos LNK con rutas de destino o estructuras internas no estándar. Esto obliga a Windows Explorer a corregir estos pequeños errores antes de iniciar la aplicación maliciosa, pero en el proceso de corrección de estos errores, se elimina MotW, lo que significa que SmartScreen y SAC no lo marcan como malicioso.
Desimone dijo que la forma más fácil de desencadenar este error es simplemente agregar un punto o un espacio en algún lugar de la ruta del ejecutable de destino. Algo como target.exe. funcionaría, como lo haría .\target.exePor ejemplo.
Luego, el Explorador de Windows reconoce el error en la ruta de destino y busca el ejecutable real, corrige la ruta de destino y actualiza el archivo, lo que a su vez elimina MotW.
“Identificamos múltiples muestras en Virus Total que exhiben el error, demostrando su existencia en el uso salvaje”, dicho Desimone. “La muestra más antigua identificada fue presentada hace más de seis años.
“También revelamos detalles del error al MSRC. Es posible que se solucione en una futura actualización de Windows. Estamos publicando esta información, junto con la lógica de detección y las contramedidas, para ayudar a los defensores a identificar esta actividad hasta que haya un parche disponible”.
Mientras tanto, se recomienda a los profesionales de seguridad que ajusten su ingeniería de detección en función de las brechas de cobertura que se muestran en Pantalla inteligente y SAC.
Otros bypasses
SmartScreen y SAC son protecciones basadas en reputación, y el método históricamente probado, pero difícil de ejecutar, para eludirlas era firmar una aplicación maliciosa con un certificado de firma de código.
En teoría, estos deberían ser Difícil de adquirir Dado que las autoridades de certificación solo deberían emitirlas a empresas legítimas, aunque todavía es un asunto muy importante. práctica viable.
Desimone también destacó una serie de otros métodos para eludir las protecciones basadas en la reputación, incluida una técnica que llamó “secuestro de reputación”, que implica identificar un programa existente con buena reputación e interferir en él con fines maliciosos.
El investigador dijo que los hosts de scripts son ideales para este tipo de ataque, aunque cualquier aplicación que se controle sin parámetros de línea comunes funcionaría. Si incluye una capacidad de interfaz de función externa (FFI), mejor aún, porque se puede utilizar para cargar código malicioso en la memoria. Los intérpretes de Lua, Node.js y AutoHotkey son objetivos ideales para la reutilización en este caso, dijo.
Según Desimone, la siembra de reputación parece funcionar mejor con SAC. SmartScreen establece un umbral más alto antes de confiar en una aplicación. Este ataque implica que un atacante descargue un archivo binario que parece confiable pero que puede explotarse más adelante, como cuando se cumplen ciertas condiciones. También podría contener una vulnerabilidad que un atacante pueda explotar más adelante, por ejemplo.
Por último, Desimone dijo que la manipulación de la reputación también es una opción. Este método implica cambiar cuidadosamente secciones específicas del código de las aplicaciones que SAC considera benignas de manera que sirvan para un ataque, al mismo tiempo que se mantiene su reputación benigna.
“Mediante el método de prueba y error, pudimos identificar segmentos que se podían manipular de forma segura y mantener la misma reputación. Creamos un binario manipulado con un hash único que ni Microsoft ni SAC habían visto nunca. Este código shell 'execute calc' se incorporó y se pudo ejecutar con SAC en modo de ejecución”, dijo el director técnico de Elastic. ®
