Hackeři novým útokem využili slabin bezpečnostní architektury Windows a deaktivovali hlídací procesy
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Nový typ útoků na Windows ochromuje ochranu počítače. Útočníci zneužili chyby v architektuře systému, aby potichu přebrali kontrolu nad daty a kryptopeněženkami.
Windows používá většina uživatelů, kteří jakkoli fungují na počítači, takže je to lákavý cíl kyberútoků. Redakce Mobify si všimla nové malwarové kampaně, která se nespokojuje jen se standardními hackerskými metodami. Útok v tomto případě totiž deaktivuje hlídací procesy systému a bezpečnostní software takřka nepozorovaně.
Systém útočníkům sám nevědomky pomáhá
Malware se šíří pomocí dokumentů, tvářících se jako běžné pracovní soubory. Po otevření archivu spustí systém PowerShell skript, který obejde zásady spouštění. První fáze malwaru je stažena z legitimně vypadajících cloudových úložišť, například GitHubu či Dropboxu, a zároveň generuje dokumenty jako návnadu, aby uživatele zmátla. Oběť tak vidí přesně to, co očekávala.
Trik útoku spočívá v tom, že malware nepůsobí nijak agresivně. Místo přímého napadení Microsoft Defenderu či jiných bezpečnostních nástrojů využívají útočníci přímo interní mechanismy Windows, aby tyto ochranné prvky jednoduše automaticky deaktivovali, jak uvedl TechRepublic.
Zároveň registrují falešný antivirový produkt a vkládají škodlivý kód do důvěryhodných procesů, jako je Správce úloh. Windows tak „pomáhá“ útočníkům tím, že vypíná vlastní obranu, aby se předešlo konfliktům.
Následuje neutralizace bezpečnostních vrstev
Malware systematicky tedy odstraňuje ochranu. Monitorování v reálném čase je vypnuté, analýza chování přestává fungovat a kritické složky jako ProgramData nebo Downloads jsou přidány na seznam výjimek souborového systému. Vše probíhá v paměti s několika vrstvami šifrování, takže detekce je velice těžká.
Další potíž spočívá v deaktivaci prostředí pro obnovu systému, mazání záložních katalogů a kopií souborů. Jakmile je systém připravený, jsou nasazeny datové zásilky. Amnesia RAT krade hesla z prohlížeče a kryptopeněženky, ransomware Hakuna Matata šifruje soubory a komponenty WinLockeru blokují počítač s výkupným v ruštině. Všechny kryptoměnové transakce tak mohou být ovládány útočníkem.
Klasický antivir selže, vidí jen „legální“ funkce
Tradiční antivirus sice detekuje „jakýsi“ podezřelý kód podle známých vzorů, jenomže útok využívá výhradně legální funkce Windows, takže tyto klasické metody v závěru stejně selžou. Zakódované skripty nevypadají jako škodlivé a detekce založená na podpisech se tak stává nerelevantní.
Podle nás to jen dokazuje, že samotný antivir dnes už dávno nestačí. Je potřeba kombinovat ochranu s aktivní prevencí, jako je třeba kontrola zdrojů dokumentů a školení uživatelů v oblasti kyberbezpečnosti, doporučuje Wikipedia. I my máme pár rad, čeho se držet:
- Neklikat na přílohy od neznámých odesílatelů
- Školit zaměstnance na rozpoznávání podezřelých příloh, i když vypadají legitimně
- Pravidelně aktualizovat systém a zálohovat data
- Používat pokročilou ochranu koncových bodů, která dokáže sledovat anomálie i v mezích legitimních funkcí Windows
Podle nás se takové útoky stanou trendem. Útočníci budou kombinovat důvěryhodné platformy, sociální inženýrství a interní mechanismy Windows, aby obešli bezpečnostní bariéry a cílili nejen na soukromé uživatele, ale i na korporátní infrastrukturu.
Zdroje
Autorský komentář Lukáše Altmana