Truc om Mark-of-the-Web te omzeilen

De APT-groep BlueNoroff heeft methoden gebruikt om het Mark-of-the-Web-mechanisme te omzeilen

De APT-groep BlueNoroff heeft methoden gebruikt om het Mark-of-the-Web-mechanisme te omzeilen

Wanneer een gebruiker een Office-document probeert te lezen dat is gemaild of van een website is gedownload, opent Microsoft Office het gewoonlijk in de beveiligde modus. Het doet dit met behulp van Mark-of-the-Web (MOTW), een van de standaard beschermingsmechanismen van Windows. Dit mechanisme markeert bestanden die vanaf het internet op uw pc zijn beland, zodat toepassingen de bron ervan kennen en de aandacht van de gebruiker op potentieel gevaar kunnen vestigen. Maar blindelings vertrouwen op de doeltreffendheid van een dergelijk waarschuwingsmechanisme is waarschijnlijk een slecht idee, aangezien veel aanvallers de laatste tijd methoden zijn gaan gebruiken om MOTW te omzeilen. Toen onze deskundigen bijvoorbeeld onlangs de tools van de BlueNoroff-groep (die vermoedelijk deel uitmaakt van de Lazarus-groep) bestudeerden, ontdekten zij dat de groep nieuwe trucs toepast om het besturingssysteem te misleiden.

Hoe BlueNoroff het MOTW-mechanisme omzeilt

Het Mark-of-the-Web mechanisme werkt als volgt: zodra een gebruiker (of programma) een bestand downloadt van het net, voegt het NTFS bestandssysteem er een “van het internet”-attribuut aan toe. Maar dit attribuut wordt niet altijd verworven. Wanneer u een archief downloadt, krijgen alle bestanden daarin dit attribuut. Een archief is echter lang niet de enige manier om een bestand indirect over te dragen.

De aanvallers achter de BlueNoroff-groep zijn begonnen te experimenteren met het gebruik van nieuwe bestandstypen om schadelijke documenten af te leveren. In sommige gevallen gebruiken zij het.iso-formaat, dat gewoonlijk wordt gebruikt voor de opslag van images van optische schijven. De andere optie is een.vhd-bestand dat meestal een virtuele harde schijf bevat. Met andere woorden: ze verbergen de echte aanvalslading (een lokdocument en een kwaadaardig script) in de image of het virtuele station.

Een meer gedetailleerde technische beschrijving van bijgewerkte BlueNoroff-tools en -methoden, evenals indicators of compromise, is te vinden in het artikel van onze experts op het Securelist-blog.

Wie zijn BlueNoroff en waar jagen ze op?

Begin dit jaar schreven we al over de SnatchCrypto-campagne die was gericht op het stelen van cryptocurrencies. Op basis van een aantal tekenen denken onze onderzoekers dat het dezelfde BlueNoroff-groep is die erachter zit. Ook de vandaag waargenomen activiteit is in de eerste plaats gericht op het verkrijgen van financieel gewin. Eigenlijk is het laatste stadium van de aanval hetzelfde gebleven: de criminelen installeren een achterdeur op de geïnfecteerde computer.

De BlueNoroff-groep heeft vele domeinen geregistreerd die risicokapitaal- en investeringsbedrijven en grote banken imiteren. Te oordelen naar de namen van de banken en de door de aanvallers gebruikte valse documenten, zijn ze momenteel vooral geïnteresseerd in doelwitten die Japans spreken. Er is echter ook ten minste één slachtoffer van de groep gevonden in de VAE. Zoals uit de praktijk blijkt, is BlueNoroff vooral geïnteresseerd in bedrijven die verband houden met cryptocurrencies, en in financiële bedrijven.

Hoe blijft u beschermd?

Allereerst is het de moeite waard om de illusie te laten varen dat standaard beschermingsmechanismen die in het OS zijn ingebouwd voldoende zijn om uw bedrijf veilig te houden. Het Mark-of-the-Web-mechanisme kan u niet beschermen tegen een werknemer die een van het internet ontvangen bestand opent en een schadelijk script uitvoert. Om te voorkomen dat uw bedrijf het slachtoffer wordt van de aanvallen van BlueNorff en soortgelijke APT-groepen, bevelen onze deskundigen het volgende aan:

  • installeer moderne beveiligingsoplossingen op alle werkapparaten en voorkom zo dat er scripts worden uitgevoerd vanaf schadelijke bestanden;
  • maak uw medewerkers bewust van de moderne cyberdreigingen — organiseer trainingendie hen zullen helpen om niet ten prooi te vallen aan aanvallers;
  • maak gebruik van beveiligingsoplossingen van EDR-klasse en in zet indien nodig ook Managed Detection and Response- diensten in. Zo kunnen schadelijke activiteiten in het bedrijfsnetwerk tijdig worden opgespoord en kan een aanval worden gestopt voordat er echte schade is aangericht.


 

Tips