RSAC

Old-school exploits in een modern systeem

Onderzoekers bespreken de nieuwe tactiek van cybercriminelen van het downloaden van verouderde binaire bestanden op moderne computers en het benutten van hun kwetsbaarheden.

Nikolay Pankov
mei 24, 2021

Living off the Land–aanvallen, die functies van legitieme programma’s of besturingssystemen gebruiken om schade aan te richten, zijn niet nieuws, maar met experts die LotL-vatbare moderne software volgen, moesten cybercriminelen innoveren. Onderzoekers Jean-Ian Boutin en Zuzana Hromcova spraken tijdens de RSA Conference 2021 over een van die innovaties: het gebruik van legitieme Windows XP-componenten en -programma’s.

Living off the Land en kwetsbare Windows XP-componenten

Bij het bestuderen van de activiteit van de groep InvisiMole merkten Boutin en Hromcova op dat het gebruik van Invisimole-tools van al lang verouderde besturingssystemen ze juist helpt om onder de radar te blijven. De onderzoekers gaven die bestanden de algemene naam VULNBins, vergelijkbaar met de naam LOLBins, die de beveiligingscommunity gebruikt voor bestanden die gebruikt worden in Living of the Land-aanvallen.

Maar voor het downloaden van een verouder bestand op de computer van een slachtoffer is er natuurlijk eerst toegang tot die computer nodig. VULNBins worden over het algemeen echter gebruikt om persistentie in een gericht systeem vast te stellen zonder opgemerkt te worden, en niet voor daadwerkelijke penetratie.

Specifieke voorbeelden van het gebruik van verouderde programma’s en systeem-componenten

Als een aanvaller er niet in slaagt om beheerdersrechten te verkrijgen, omvat een van de tactieken die ze kunnen gebruiken om persistentie vast te stellen het gebruik van een oude videospeler met een bekende buffer overflow-kwetsbaarheid. De cybercriminelen creëren via de Taakplanner een regelmatig ingeplande taak die de videospeler oproept, waarvan het configuratiebestand is gemodificeerd om de kwetsbaarheid te benutten, om zo de code te laden die vereist is voor de volgende fase van de aanval.

Als de InvisiMole-aanvallers er echter in slagen om beheerdersrechten te verkrijgen, kunnen ze een andere methode inzetten die gebruikmaakt van het legitieme systeemcomponent setpSNK.exe, Windows XP-bibliotheek wdigest.dll en Rundll32.exe (ook van het verouderde systeem), nodig om de bibliotheek uit te voeren. Vervolgens manipuleren ze de gegevens die de bibliotheek in het geheugen laadt. De bibliotheek werd voor de toepassing van ASLR-technologie gecreëerd, dus de cybercriminelen kennen het precieze adres in het geheugen waar deze geladen wordt.

Ze slaan het grootste gedeelte van de schadelijke payload in het register in versleutelde vorm op, en alle bibliotheken en uitvoerbare bestanden die ze gebruiken zijn legitiem. Op deze manier is het enige dat de aanwezigheid van een vijand verraadt het bestand met de videospeler-instellingen en de kleine exploit die zich op verouderde bibliotheken richt. Dat is in de regel niet voldoende om de achterdocht van een beveiligingssysteem te wekken.

Zo blijft u veilig

Om te voorkomen dat cybercriminelen oude bestanden en verouderde systeemcomponenten gebruiken (vooral componenten die ondertekend zijn door een legitieme uitgever), zou het hebben van een database met dit soort bestanden een goed begin zijn. Hierdoor zouden bestaande verdedigingsmechanismes ze kunnen blokkeren of op zijn minst tracken (als blokkeren om de een of andere reden niet mogelijk is). Maar dat is vooralsnog toekomstmuziek.

Gebruik totdat zo’n lijst bestaat onze oplossing van EDR-klasse om:

De uitvoering van Windows-componenten die zich buiten de systeemmap bevinden te detecteren en blokkeren;
Niet-ondertekende systeembestanden te identificeren (sommige systeembestanden zijn ondertekend met een catalogusbestand in plaats van een unieke digitale handtekening, maar een systeembestand dat naar een systeem is verplaats zonder het vereiste .cat-bestand wordt als niet-ondertekend beschouwd);
Een regel te creëren om het verschil tussen de versie van het besturingssysteem en de versie van elk uitvoerbaar bestand te detecteren;
Een vergelijkbare regel te creëren voor andere applicaties, bijvoorbeeld om de uitvoering van bestanden die meer dan 10 jaar geleden zijn samengesteld te blokkeren.

Zoals we al vermelden, moeten aanvallers eerst toegang tot een computer verkrijgen voordat ze er iets op kunnen downloaden. Om te voorkomen dat VULNBins uw werkstations bereiken, moet u beveiligingsoplossingen op alle apparaten met toegang tot het internet installeren, bewustzijn onder uw werknemers creëren over moderne cyberdreigingen, en alle tools voor toegang op afstand goed in de gaten houden.

Tv-afstandsbediening in een afluisterapparaat veranderd

Bij de RSA Conference 2021 spraken onderzoekers over hoe ze erin slaagden om een Comcast Xfinity-afstandsbediening in een afluisterapparaat te veranderen.

Privacy & kinderen

TARGETED SECURITY SOLUTIONS

Enterprise solutions

Old-school exploits in een modern systeem

Living off the Land en kwetsbare Windows XP-componenten

Specifieke voorbeelden van het gebruik van verouderde programma’s en systeem-componenten

Zo blijft u veilig

Hoe Zoom naar end-to-end-encryptie is geëvolueerd

Op een netwerk aangesloten IoT-apparaten beschermen of het netwerk tegen IoT-apparaten beschermen?

Tv-afstandsbediening in een afluisterapparaat veranderd

Tips

Navigeren door de risico’s van online daten

Begin het jaar met een digitale schoonmaak

Voornemens voor cyberveiligheid: hoe kunnen we 2024 veiliger maken?

Dromen van een digitale kerst

Meld u aan om onze headlines in uw inbox te ontvangen

Oplossingen voor thuis

Bedrijven

Bedrijven

Bedrijven

Securelist

Eugene Personal Blog