Altbackene Exploits für moderne Systeme

Sicherheitsforscher reden über eine neue Taktik der Cyberverbrecher, bei der überholte ausführbare Programme mit Sicherheitslücken auf moderne Computer heruntergeladen und dann für Exploits verwendet werden.

Living-off-the-Land (LotL)-Angriffe, die es den Angreifern ermöglichen ihre bösartigen Aktivitäten hinter legitimen Programmen oder Funktionen von Betriebssystemen zu verstecken, sind nichts Neues. Da Sicherheitsexperten allerdings moderne Software, die anfällig für die LotL-Taktik sind, im Auge behalten, blieb den Cyberverbrechern nichts anderes übrig als zu innovieren. Die Forscher Jean-Ian Boutin und Zuzana Hromcova sprachen auf der RSA Conference 2021 über eine dieser Innovationen – die Verwendung von legitimen Windows XP-Komponenten und Programmen.

Living off the Land und anfällige Windows XP Komponente

Boutin und Hromcova beobachteten die Aktivitäten der InvisiMole-Gruppe und stellten fest, dass die Tools von InvisiMole Dateien für das längst überholte Betriebssystem verwenden und so länger unter dem Radar bleiben. Die Forscher bezeichneten diese Dateien mit dem allgemeinen Namen VULNBins, ähnlich wie LOLBins, mit dem die Cybersicherheit-Community Dateien nennt, die in Living Off the Land-Angriffen verwendet werden.

Natürlich ist der Zugriff auf den Computer des Opfers erforderlich, um eine überholte Datei darauf herunterzuladen. Aber VULNBins werden meistens nicht direkt für das Eindringen in das System verwendet, sondern nur, um den Fortbestand in dem Zielsystem zu sichern, ohne bemerkt zu werden.

Spezifische Beispiele in denen überholte Komponente von Programmen und Systemen verwendet wurden

Sollten die Angreifer es nicht schaffen Administratorenrechte zu erhalten können sie eine Taktik zum Sichern des Fortbestandes verwenden, bei der ein alter Videoplayer mit einer bekannten Schwachstelle, die als Buffer Overflow bekannt ist, verwendet wird. Über den Task Scheduler (Aufgabenplaner) erstellen die Cyberverbrecher eine automatische Aufgabe, die den Videoplayer regelmäßig aufruft. Die Konfigurationsdatei des entsprechenden Videoplayers wurde verändert, um die Schwachstelle auszunutzen und den Code hochzuladen, der für den nächsten Schritt des Angriffs erforderlich ist.

Wenn die InvisiMole-Angreifer es schaffen Administratorenrechte zu erhalten, können sie eine andere Methode verwenden, die die folgenden Komponenten von legitimen Systemen verwenden: setupSNK.exe, Windows XP library wdigest.dll und Rundll32.exe (auch von dem überholten System), die notwendig sind, um die Bibliothek zu verwalten. Dann manipulieren sie die Daten, die die Bibliothek in den Speicher lädt. Die Bibliothek wurde vor der ASLR-Technologie (Address Space Layout Randomization) entwickelt, also kennen die Cyberverbrecher die genaue Speicheradresse.

Der größte Teil der bösartigen Payload wird verschlüsselt im Registry gespeichert und alle Bibliotheken sowie ausführbare Programme und Dateien die verwendet werden, sind vollkommen legitim. Dementsprechend könnten nur die Datei mit den Videoplayer-Einstellungen und der kleine Exploit, der an die überholten Bibliotheken adressiert ist, die Anwesenheit des Feindes im Netzwerk verraten. Normalerweise reicht das nicht aus, um von einem Sicherheitssystem als verdächtig eingestuft zu werden.

So können Sie sich schützen

Um Cyberkriminelle daran zu hindern Komponente von alten Dateien und überholten Systemen auszunutzen (besonders wenn sie von einem legitimen Herausgeber signiert sind), ist es sinnvoll eine Datenbank mit diesen Dateien zu erstellen. Mit den Daten können die vorhanden Abwehrsysteme die Dateien blockieren oder zumindest überwachen (sollte es aus irgendeinem Grund nicht möglich sein sie zu blockieren). Das erfordert allerdings Zeit.

Bis Sie über eine solche Liste verfügen, empfehlen wir unsere EDR-Lösung (Tools für Endgeräteerkennung und Reaktion) für Folgendes zu verwenden:

  • Die Ausführung von Windows-Komponenten, die sich außerhalb des Systemordners befinden, erkennen und blockieren.
  • Identifizierung von unsignierten Systemdateien (manche Systemdateien sind mit einer CAT-Datei signiert, anstatt mit einer einmaligen, digitalen Signatur, aber eine Systemdatei, die in ein System verlegt wird, das nicht über die erforderliche CAT-Datei verfügt, wird als unsigniert eingestuft).
  • Die Erstellung einer Regel, um den Unterschied zwischen der Version des Betriebssystems und der Version von jeder ausführbaren Datei zu erkennen.
  • Die Erstellung einer ähnlichen Regel für andere Applikationen – beispielsweise, die Ausführung von Dateien zu blockieren, die vor über 10 Jahren kompiliert wurden.

Wie bereits oben erwähnt, brauchen die Angreifer zuerst Zugriff auf den Computer ihres Opfers, um etwas darauf herunterzuladen. Hindern Sie VULNBins daran in Ihre Workstations einzudringen, indem Sie Sicherheitslösungen auf allen internettauglichen Endgeräten installieren, das Sicherheitsbewusstsein Ihrer Mitarbeiter erhöhen und Tools für Remote-Zugriff überwachen.

Tipps