Met detectie van gedragsdreigingen en exploit-preventietechnologieën in Kaspersky Endpoint Security for Business is er een golf van zeer gerichte aanvallen op verschillende bedrijven geïdentificeerd. Deze aanvallen maakten gebruik van een reeks zero-day exploits van de Chrome-browser van Google en kwetsbaarheden in Microsoft Windows. Inmiddels zijn er patches voor de kwetsbaarheden beschikbaar (sinds de Microsoft-update die op 8 juni werd vrijgegeven), dus we raden iedereen aan om zowel hun browser als besturingssysteem te updaten. We noemen de dreigingsactor achter deze aanvallen PuzzleMaker.
Wat is er zo gevaarlijk aan PuzzleMaker-aanvallen?
De aanvallers gebruiken een kwetsbaarheid in Google Chrome om schadelijke code uit te voeren op de doelmachine en maken vervolgens gebruik van twee kwetsbaarheden in Windows 10 om uit de “sandbox” te ontsnappen en systeemrechten te verkrijgen. Vervolgens uploaden ze de eerste malwaremodule, de zogenaamde stager, naar de computer van het slachtoffer, samen met een aangepast configuratieblok (opdrachtserveradres, sessie-ID, decryptiesleutels voor de volgende module, enzovoort).
De stager stelt de aanvallers op de hoogte van de geslaagde infectie en downloadt en decodeert een dropper-module, die op zijn beurt twee uitvoerbare bestanden installeert die zich voordoen als legitiem. De eerste, WmiPrvMon.exе, registreert als een service en voert de tweede uit, wmimon.dll. Dit tweede uitvoerbare bestand is de belangrijkste payload van de aanval, in de vorm van een shell op afstand.
De aanvallers gebruiken deze shell om volledige controle over de doelmachine te verkrijgen. Ze kunnen bestanden uploaden en downloaden, processen creëren, gedurende een bepaalde tijdsduur in winterslaap gaan en zelfs alle sporen van de aanval van de machine verwijderen. Dit malware-component communiceert met de commandoserver via een versleutelde verbinding.
Welke exploits en kwetsbaarheden?
Helaas konden onze experts de remote code execution exploit die PuzzleMaker gebruikte om Google Chrome aan te vallen niet analyseren, maar ze hebben wel een grondig onderzoek uitgevoerd en geconcludeerd dat de aanvallers waarschijnlijk gebruikmaakten van de kwetsbaarheid CVE-2021-21224. Als u geïnteresseerd bent in het hoe en waarom we tot deze conclusie kwamen, raden we u aan om de redenering hierachter te lezen in deze Securelist-post. Hoe dan ook: Google gaf op 20 april 2021 een patch uit voor deze kwetsbaarheid, minder dan een week nadat we een golf aan aanvallen hadden ontdekt.
De exploit die bevoegdheden verhoogt maakt gebruik van twee Windows 10-kwetsbaarheden tegelijk. De eerste, CVE-2021-31955, is een kwetsbaarheid die informatie vrijgeeft in het bestand ntoskrnl.exe. De exploit gebruikte dit bestand om de adressen van de EPROCESS-structuurkernel voor de uitgevoerde processen te bepalen. De tweede kwetsbaarheid, CVE-2021-31956, zit in de ntfs.sys driver en behoort tot de heap overflow-klasse van kwetsbaarheden. Kwaadwillenden gebruikten hem samen met de Windows Notification Facility voor het lezen en schrijven van gegevens naar het geheugen. Deze exploit werkt op de meest gebruikelijke Windows 10-versies: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) en 19042 (20H2). Build 19043 (21H1) is ook kwetsbaar, hoewel onze technologieën geen aanvallen op deze versie hebben ontdekt, die werd uitgegeven nadat we de PuzzleMaker hadden gedetecteerd. Securelist heeft een post gepubliceerd met een gedetailleerde technische beschrijving en een lijst met de indicators of compromise.
Bescherming tegen deze en vergelijkbare aanvallen
Om uw bedrijfsbeveiliging tegen de exploits die in de PuzzleMaker-aanval worden gebruikt te beschermen, moet u allereerst Chrome updaten en (vanaf de Microsoft–website) de besturingssysteem-patches installeren die bedoeld zijn voor de kwetsbaarheden CVE-2021-31955 en CVE-2021-31956.
Om de dreiging van andere zero-day-kwetsbaarheden af te wenden, moet elk type bedrijf echter cyberbeveiligingsproducten gebruiken die dergelijke exploitatiepogingen kunnen detecteren door verdacht gedrag te analyseren. Onze producten hebben deze aanval bijvoorbeeld gedetecteerd met behulp van de Behavioral Detection Engine-technologie en het Exploit Prevention-subsysteem in Kaspersky Endpoint Security for business.