Living off the Land–aanvallen, die functies van legitieme programma’s of besturingssystemen gebruiken om schade aan te richten, zijn niet nieuws, maar met experts die LotL-vatbare moderne software volgen, moesten cybercriminelen innoveren. Onderzoekers Jean-Ian Boutin en Zuzana Hromcova spraken tijdens de RSA Conference 2021 over een van die innovaties: het gebruik van legitieme Windows XP-componenten en -programma’s.
Living off the Land en kwetsbare Windows XP-componenten
Bij het bestuderen van de activiteit van de groep InvisiMole merkten Boutin en Hromcova op dat het gebruik van Invisimole-tools van al lang verouderde besturingssystemen ze juist helpt om onder de radar te blijven. De onderzoekers gaven die bestanden de algemene naam VULNBins, vergelijkbaar met de naam LOLBins, die de beveiligingscommunity gebruikt voor bestanden die gebruikt worden in Living of the Land-aanvallen.
Maar voor het downloaden van een verouder bestand op de computer van een slachtoffer is er natuurlijk eerst toegang tot die computer nodig. VULNBins worden over het algemeen echter gebruikt om persistentie in een gericht systeem vast te stellen zonder opgemerkt te worden, en niet voor daadwerkelijke penetratie.
Specifieke voorbeelden van het gebruik van verouderde programma’s en systeem-componenten
Als een aanvaller er niet in slaagt om beheerdersrechten te verkrijgen, omvat een van de tactieken die ze kunnen gebruiken om persistentie vast te stellen het gebruik van een oude videospeler met een bekende buffer overflow-kwetsbaarheid. De cybercriminelen creëren via de Taakplanner een regelmatig ingeplande taak die de videospeler oproept, waarvan het configuratiebestand is gemodificeerd om de kwetsbaarheid te benutten, om zo de code te laden die vereist is voor de volgende fase van de aanval.
Als de InvisiMole-aanvallers er echter in slagen om beheerdersrechten te verkrijgen, kunnen ze een andere methode inzetten die gebruikmaakt van het legitieme systeemcomponent setpSNK.exe, Windows XP-bibliotheek wdigest.dll en Rundll32.exe (ook van het verouderde systeem), nodig om de bibliotheek uit te voeren. Vervolgens manipuleren ze de gegevens die de bibliotheek in het geheugen laadt. De bibliotheek werd voor de toepassing van ASLR-technologie gecreëerd, dus de cybercriminelen kennen het precieze adres in het geheugen waar deze geladen wordt.
Ze slaan het grootste gedeelte van de schadelijke payload in het register in versleutelde vorm op, en alle bibliotheken en uitvoerbare bestanden die ze gebruiken zijn legitiem. Op deze manier is het enige dat de aanwezigheid van een vijand verraadt het bestand met de videospeler-instellingen en de kleine exploit die zich op verouderde bibliotheken richt. Dat is in de regel niet voldoende om de achterdocht van een beveiligingssysteem te wekken.
Zo blijft u veilig
Om te voorkomen dat cybercriminelen oude bestanden en verouderde systeemcomponenten gebruiken (vooral componenten die ondertekend zijn door een legitieme uitgever), zou het hebben van een database met dit soort bestanden een goed begin zijn. Hierdoor zouden bestaande verdedigingsmechanismes ze kunnen blokkeren of op zijn minst tracken (als blokkeren om de een of andere reden niet mogelijk is). Maar dat is vooralsnog toekomstmuziek.
Gebruik totdat zo’n lijst bestaat onze oplossing van EDR-klasse om:
- De uitvoering van Windows-componenten die zich buiten de systeemmap bevinden te detecteren en blokkeren;
- Niet-ondertekende systeembestanden te identificeren (sommige systeembestanden zijn ondertekend met een catalogusbestand in plaats van een unieke digitale handtekening, maar een systeembestand dat naar een systeem is verplaats zonder het vereiste .cat-bestand wordt als niet-ondertekend beschouwd);
- Een regel te creëren om het verschil tussen de versie van het besturingssysteem en de versie van elk uitvoerbaar bestand te detecteren;
- Een vergelijkbare regel te creëren voor andere applicaties, bijvoorbeeld om de uitvoering van bestanden die meer dan 10 jaar geleden zijn samengesteld te blokkeren.
Zoals we al vermelden, moeten aanvallers eerst toegang tot een computer verkrijgen voordat ze er iets op kunnen downloaden. Om te voorkomen dat VULNBins uw werkstations bereiken, moet u beveiligingsoplossingen op alle apparaten met toegang tot het internet installeren, bewustzijn onder uw werknemers creëren over moderne cyberdreigingen, en alle tools voor toegang op afstand goed in de gaten houden.