Киберпреступники стали чаще пользоваться изъянами Windows, "xakep"

[RicardoZen]

По данным ГК «Солар», в апреле 2024 года предположительно проукраинские киберпреступники через взломанную учетную запись подрядчика безвозвратно зашифровали и вывели из строя IT-инфраструктуру крупной российской промышленной компании из сектора добывающей промышленности. Используя давно известный изъян логики в Windows во взаимодействии операционной системы с цифровыми подписями драйверов, с хоста подрядчика по протоколу RDP (протокол удаленного рабочего стола) они получили доступ к ряду систем.
Они сумели загрузить в сеть жертвы вредоносный драйвер и отключить антивирусное ПО, чтобы их действия невозможно было обнаружить и заблокировать, потом зашифровали ряд корпоративных систем и частично разрушили серверы виртуализации. нанеся колоссальный ущерб компании. Эксперты в области кибербезопасности констатируют: атаки с использованием уязвимых драйверов, которые применяются в том числе с целью повышения привилегий в операционной системе, получают все большее распространение
По словам руководителя группы расследований инцидентов Solar 4RAYS ГК «Солар» Ивана Сюхина - в результате атаки компания простаивала около недели и была вынуждена дополнительно тратить время и другие ресурсы на восстановление утраченной инфраструктуры
Примечательно, что о недостатке в работе Microsoft, которым воспользовались злоумышленники, известно давно. В 2022 году компания ввела политику обязательной цифровой подписи ПО, которая может попасть в ядро системы, в том числе и различных драйверов. Эту подпись можно получить через специальный портал разработчиков. Если подписи нет, то Windows 10, начиная с версии 1607, просто не запустит новый драйвер. Эту меру ввели для безопасности, чтобы у злоумышленников было меньше возможностей создавать вредоносное ПО, подписанное сертификатами от легальных, но нечистых на руку сертификационных центров.
Однако чтобы обеспечить совместимость со старыми драйверами (например, с драйверами оборудования, которое больше не выпускается), в Microsoft оставили несколько исключений из этой политики. Одно из них — драйвер должен быть подписан с помощью конечного сертификата (то есть сертификата, выданного конкретной организации) не позднее 29 июля 2015 года. Именно это исключение использовали атакующие, применив технику подмены временных меток сертификатов. ГК «Солар» расследовала инцидент и сделал вывод: хакеры взяли сертификат китайского производителя электроники и «состарили» его до нужной степени, чтобы не «вызывать подозрения» у операционной системы, .

В процессе исследования атакованных серверов компании эксперты Solar 4RAYS обнаружили два образца вредоносного ПО, один из которых искал в системе признаки присутствия защитного решения, а другой отключал его командой из режима ядра. Подобная техника позволяет киберпреступникам отключить вообще любой софт (а не только антивирусное ПО) и беспрепятственно развить атаку в целевой инфраструктуре. Раньше подобные атаки практиковали в основном киберпреступные группировки из азиатского региона, но теперь мы видим ее активное распространение и среди других злоумышленников. Но если азиатские хакеры в основном собирали данные, не разрушая инфраструктуру, то злоумышленники из Восточной Европы часто нацелены на деструктив, что усугубляет угроз».
Опрошенных экспертов в сфере кибербезопасности инцидент не удивляет. «Хактивисты внимательно следят за выходом POC по различным уязвимостям (Proof of Concept, демонстрация осуществимости того или иного метода) и активно используют их в атаках на компании, которые не успели пропатчить свои системы. Это гибкий ситуационный подход к проведению атаки», — сообщили Forbes в лаборатории цифровой криминалистики компании F.A.C.C.T.
По словам руководителя отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies Дениса Гойденко, IT-инфраструктура не уничтожается одной техникой, поскольку хакерские атаки — комплексное явление: «Существует множество техник проникновения и развития атаки, и указанная техника — одна из составляющих. В ряде кейсов наша команда по расследованию инцидентов PT ESC Positive Technoligies действительно встречала такие техники с драйверами, и раньше злоумышленники их применяли заметно реже». Злоумышленники часто находят незащищенные узлы без средств защиты информации (СЗИ) в сетях, через них получают привилегированные учетные записи, используя их для массового централизованного отключения СЗИ и запуска шифровальщиков, в том числе через серверы управления СЗИ, говорит Гойденко.
Злоумышленники действительно все чаще используют вредоносные драйверы и технику «принеси свой драйвер» в атаках, подтверждает ведущий эксперт Kaspersky GReAT Борис Ларин. Согласно данным «Лаборатории Касперского», во II квартале 2024 года количество систем на базе Windows, атакованных с использованием уязвимых драйверов, увеличилось почти на 23% по сравнению с I кварталом. Такие техники позволяют хакерам совершать попытки отключить защитные решения в системе и повышать привилегии. Это, в свою очередь, дает им возможность, например, внедрять программы-вымогатели или закрепляться в системе для шпионажа или саботажа, проводить сложные целевые атаки.
В конкретном случае уязвимостью это, пожалуй, считать нельзя, так как Microsoft сама подробно описывает это и другие исключения на своем портале для разработчиков, рассуждает он. «Это исключение (имеется в виду то, что новые требования Microsoft не касаются сертификатов, выпущенных до 29 июля 2015 года) — не единственный способ, который позволяет злоумышленникам запускать вредоносное ПО, — продолжает Ларин. — Наиболее часто злоумышленники используют уязвимости в подписанных легитимных драйверах для обхода проверки подписи и загрузки своих вредоносов. К счастью, в обоих случаях злоумышленникам нужно сначала принести драйвер на атакуемую систему, и самым важным является то, что для его запуска злоумышленникам необходимо обладать правами администратора. Использование аккаунта без привилегий администратора, ограничение использования и защита аккаунта администратора обезопасят от подобного сценария атаки».