Luka w zabezpieczeniach systemu Windows wykorzystana przez nieznane ugrupowanie przestępcze

15-04-2019, 19:22

Zautomatyzowane technologie wykryły nieznaną wcześniej lukę w zabezpieczeniach systemu Microsoft Windows. Została ona wykorzystana przez niezidentyfikowane ugrupowanie przestępcze w celu przejęcia pełnej kontroli nad atakowanym urządzeniem. Atak był wymierzony w rdzeń systemu i skorzystał z tylnej furtki, wykorzystując podstawowy element systemu Windows.

Backdoory (tylne furtki) pozwalają ugrupowaniom cyberprzestępczym dyskretnie kontrolować zainfekowane maszyny, aby osiągnąć własne cele. Wzrost przywilejów „osoby z zewnątrz” jest zwykle trudny do ukrycia przed rozwiązaniami zabezpieczającymi. Jednak backdoor, który wykorzystuje nieznany wcześniej błąd w systemie – lukę dnia zerowego – ma znacznie większe szanse pozostać niezauważony. Proste rozwiązania zabezpieczające nie potrafią rozpoznać takiej infekcji systemu ani chronić użytkowników przed zagrożeniem, które nie zostało jeszcze zidentyfikowane.

Mimo to technologia zabezpieczająca przed exploitami, wbudowana w produkty Kaspersky Lab, zdołała wykryć próbę wykorzystania nieznanej luki w zabezpieczeniach systemu Microsoft Windows. Scenariusz ataku wyglądał następująco: po uruchomieniu szkodliwego pliku .exe zainicjowana została instalacja szkodliwego oprogramowania. Podczas infekcji wykorzystano lukę dnia zerowego i zdobyto przywileje umożliwiające długotrwałą obecność w maszynie ofiary. Następnie szkodliwe oprogramowanie zainicjowało uruchomienie backdoora opracowanego z wykorzystaniem legalnego elementu występującego we wszystkich wersjach systemu Windows – Windows PowerShell. Dzięki temu cyberprzestępcy mogli uniknąć wykrycia, zyskując czas na tworzenie kodu szkodliwych narzędzi. Następnie szkodnik pobierał innego backdoora, co z kolei zapewniało cyberprzestępcom pełną kontrolę nad zainfekowanym systemem.

W ataku zaobserwowano dwa główne trendy, często spotykane w przypadku zaawansowanych długotrwałych zagrożeń (APT). Po pierwsze, wykorzystanie eskalacji przywilejów lokalnych w celu długotrwałego przetrwania w maszynie ofiary. Po drugie, wykorzystanie legalnych struktur, takich jak Windows PowerShell, w celu prowadzenia szkodliwej aktywności na maszynie ofiary. Takie połączenie umożliwia cyberprzestępcom obejście standardowych rozwiązań zabezpieczających. Aby móc wykryć takie techniki, system bezpieczeństwa musi być wyposażony w silnik ochrony przed exploitami oraz wykrywanie oparte na zachowaniu procesów w systemie, co wyjaśnia Anton Iwanow, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.

Źródło: Kaspersky Lab


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS  
RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031