.
O Elastic Security Labs revelou uma série de métodos disponíveis para invasores que desejam executar aplicativos maliciosos sem acionar os avisos de segurança do Windows, incluindo um que está em uso há seis anos.
A pesquisa se concentrou em maneiras de contornar o Windows SmartScreen e o Smart App Control (SAC), as proteções integradas contra a execução de software potencialmente malicioso baixado da web no Windows 8 e 11, respectivamente.
Entre as técnicas descobertas por Joe Desimone, líder de tecnologia da Elastic, estava uma que ele apelidou de “LNK Stomping”, um bug na maneira como os arquivos de atalho do Windows (.LNK) são manipulados, que anula a Mark of the Web (MotW) do Windows — uma marca digital colocada em arquivos baixados que pode ser maliciosa se executada.
O SmartScreen verifica apenas arquivos marcados com MotW e o SAC é configurado para bloquear certos tipos de arquivo se eles estiverem marcados, então qualquer método que possa contornar o MotW será naturalmente uma bênção para os criminosos de malware.
Esta está longe de ser a primeira técnica de desvio de MotW introduzida ao longo dos anos, mas o fato de estar em uso há tanto tempo e, como Desimone disse, ser “trivial” de explorar, faz com que valha a pena que os defensores dediquem algum tempo para entender como ela funciona.
Mas isso é tudo o que está sendo oferecido até agora: entendimento. O pesquisador disse que a Elastic contatou a Microsoft sobre mitigação e a gigante da tecnologia disse que isso pode ser corrigido em uma data posterior – sem promessas de patch aqui.
Essa técnica “trivial” envolve a criação de arquivos LNK com caminhos de destino ou estruturas internas não padrão. Isso força o Windows Explorer a corrigir esses pequenos erros antes de iniciar o aplicativo malicioso, mas no processo de correção desses erros, o MotW é removido, o que significa que o SmartScreen e o SAC não o sinalizam como malicioso.
Desimone disse que a maneira mais fácil de acionar esse bug é simplesmente acrescentar um ponto ou um espaço em algum lugar no caminho executável de destino. Algo como target.exe. funcionaria, assim como .target.exepor exemplo.
O Windows Explorer então reconhece o erro no caminho de destino e procura o executável real, corrige o caminho de destino e atualiza o arquivo, o que por sua vez remove o MotW.
“Nós identificamos várias amostras no VirusTotal que exibem o bug, demonstrando a existência do uso selvagem”, disse Desimone. “A amostra mais antiga identificada foi enviada há mais de seis anos.
“Também divulgamos detalhes do bug para o MSRC. Ele pode ser corrigido em uma atualização futura do Windows. Estamos divulgando essas informações, junto com lógica de detecção e contramedidas, para ajudar os defensores a identificar essa atividade até que um patch esteja disponível.”
Enquanto isso, os profissionais de segurança são aconselhados a ajustar sua engenharia de detecção de acordo com as lacunas de cobertura exibidas pelo SmartScreen e pelo SAC.
Outros desvios
O SmartScreen e o SAC são proteções baseadas em reputação, e o método historicamente testado e comprovado, mas difícil de executar, de contorná-las era assinar um aplicativo malicioso com um certificado de assinatura de código.
Em teoria, eles deveriam ser difíceis de adquirir, já que as autoridades certificadoras só deveriam emiti-los para empresas legítimas, embora ainda seja uma prática bastante viável.
Desimone também destacou uma série de outros métodos para contornar proteções baseadas em reputação, incluindo uma técnica que ele chamou de sequestro de reputação, que envolve identificar um programa existente com boa reputação e interferir nele para fins maliciosos.
O pesquisador disse que hosts de script são ideais para esse tipo de ataque, embora qualquer aplicativo que seja controlado sem parâmetros de linha comuns funcione. Se incluir uma capacidade de interface de função estrangeira (FFI), melhor ainda, porque isso pode ser usado para carregar código ruim na memória. Interpretadores Lua, Node.js e AutoHotkey são alvos ideais para reaproveitamento aqui, ele disse.
O Reputation Seeding parece funcionar melhor com o SAC. O SmartScreen define um limite mais alto antes de confiar em um aplicativo, disse Desimone. Esse ataque envolve um invasor lançando um binário que parece confiável, mas pode ser explorado posteriormente, como quando certas condições são atendidas. Ele também pode conter uma vulnerabilidade que um invasor pode explorar posteriormente, por exemplo.
Por fim, Desimone disse que Reputation Tampering também é uma opção. Esse método envolve alterar cuidadosamente seções de código específicas de aplicativos que são consideradas benignas pelo SAC de uma forma que dê suporte a um ataque, tudo isso enquanto mantém sua reputação benigna.
“Por meio de tentativa e erro, conseguimos identificar segmentos que poderiam ser adulterados com segurança e manter a mesma reputação. Criamos um binário adulterado com um hash exclusivo que nunca havia sido visto pela Microsoft ou SAC. Isso incorporou um shellcode ‘execute calc’ e pôde ser executado com SAC no modo de execução”, disse o líder de tecnologia da Elastic. ®
.
