Bandiţii moderni - Episodul 9 | Tu ştii de ce atacurile fără fișier sunt imune la antivirus?

Puţini ştiu că celebrul nostru compatriot hacker Guccifer a avut un urmaș: Guccifer 2.0!
Ce-i drept, n-a fost român – deși inițial așa s-a recomandat –, ci rus. Și nu era unul, ci mai mulți. Mai precis: un grup de specialiști GRU, special creat pentru a se ocupa de alegerile prezidențiale din Statele Unite.
Personajul multiplu n-a activat decât o vară și a dispărut efectiv în 2018. Patria-Mamă nu și-a recunoscut niciodată vlăstarul, iar americanii se întreabă și acum cum le-ar fi fost fără Guccifer 2.0, DCLeaks sau Cambridge Analytica... dar nu credem că vor afla vreodată.

Povestea noului Guccifer e scurtă, dar „învățăturile“ sunt importante – succesul repurtat de versiunea 2.0 s-a datorat unui atac de tip Fileless, cu ajutorul căruia rușii au intrat în posesia a aproape 20.000 de email-uri din baza de date a Comitetului Național al Partidului Democrat.
Restul e istorie.

Din 2016 încoace, tehnica Fileless a devenit tot mai utilizată.
În 2017, conform Ponemon Institute, 29% din atacurile informatice au fost de tip Fileless. În 2018, ajunseseră la 35%. Iar în prima jumătate a lui 2019 s-a înregistrat o creștere de 265%, comparativ cu perioada similară a anului trecut (potrivit TrendMicro).

La o astfel de evoluție, toată lumea ar trebui să fie în stare de alertă. Mai ales pentru că atacurile Fileless nu iartă pe nimeni – de la home users, până la mari companii, bănci și organizații guvernamentale, nimeni nu scapă. Este deja celebru cazul Equifax de acum doi ani, când – în urma unui atac Fileless care a exploatat vulnerabilitățile din Apache Struts – confidențialitatea datelor a 150 de milioane de clienți a fost compromisă.
Dar avem și exemple proaspete:

În iunie, cei de la TrendMicro au semnalat campania de phishing PCASTLE, care folosește o metodă fileless pentru a descărca un script PowerShell, ce, odată instalat, folosește calculatoarele infectate pentru a mina după Monero (o „cunoștință“ mai veche a românilor, pe care v-am prezentat-o aici)
La începutul lui iulie, Microsoft a lansat un avertisment despre troianul Astaroth, care se instalează folosind tehnica Fileless și utilizează Windows Management Instrumentation Command-line (WMIC) pentru a fura informații din calculatoarele infectate. (Mai multe detalii despre acest tip de amenințări puteți afla aici )
Tot în iulie, Kaspersky Lab a publicat detalii despre Topinambour, un atac Fileless tot de sorginte rusă care țintește organizațiile guvernamentale și se propagă prin intermediul unui modul .Net.
În august, FBI-ul a lansat o avertizare asupra troianului bancar Osiris, care utilizează două tehnici Fileless. Una dintre ele este așa-numitul Process Doppelgänging, descoperit în 2017 și care afectează toate versiunile Microsoft Windows și reușește să treacă de majoritatea soluțiilor antivirus.

De fapt, tocmai pe acest ultim aspect se bazează tot „succesul la public“ al atacurilor Fileless – nu pot fi detectate cu soluțiile clasice de securitate.
Explicația e simplă: spre deosebire de alte amenințări malware, care au nevoie de instalarea unui fișier pe calculatorul victimă, atacurile Fileless rulează în memoria RAM, de unde se folosesc de ce găsesc „la îndemână“. Preferă uneltele Microsoft, ca PowerShell, Windows Management Instrumentation Command-line (WMIC, Visual Basic (VB), Windows Registry, .NET framework etc., dar nu refuză nici oferta Linux (Python, Perl, С compilere etc.).
De exemplu, în cazul PowerShell – una dintre țintele predilecte ale atacurilor de acest tip –, comenzile sunt ascunse în scripturi care sunt dificil de detectat și investigat pentru că nu lasă nicio urmă vizibilă. Și pentru că, în definitiv, PowerShell este un instrument legitim, utilizat de mulți administratori pentru a-și automatiza operațiunile, ca urmare scripturile cu pricina au aparența unor sarcini administrative comune.
Problema reală rezidă în faptul că majoritatea soluțiilor antivirus nu pot identifica atacurile Fileless atunci când scanează sistemul pentru că nu pot depista nicio semnătură. Iar atunci când sistemul este restartat, amenințarea dispare cu totul, fiind ștearsă din memorie, ceea ce face total ineficiente metodele de tip „Booting scan“.

Dar chiar dacă hackerii își diversifică panoplia de tehnici Fileless continuu, nu înseamnă însă că nu puteți lua măsuri de prevenție și de protecție împotriva acestora.
În primul rând, trebuie să acordați atenție sporită update-urilor – mai ales celor ale instrumentelor Microsoft. Așa cum vă spuneam, PowerShell și Window Management Instrumentation sunt ținte preferate ale atacurilor Fileless, de aceea ar fi ideal să fiți la zi cu cele mai noi versiuni, pentru că includ măsuri de protecție actualizate. (Unii specialiști merg până la a recomanda dezactivarea PowerShell, dar această soluție nu poate fi aplicată tuturor companiilor).
O altă măsură pe care trebuie să o luați este educarea utilizatorilor finali. Poate că sună pueril având în vedere contextul, însă cel mai adesea atacurile Fileless pornesc printr-o banală campanie de phisinig, o amenințare devenită periculos de comună (pe care am detaliat-o aici). De exemplu, printr-o astfel de campanie se poate trimite un număr foarte mare de email-uri care conțin un link către un fișier LNK. Odată accesat, acesta încarcă o linie de comandă care rulează, să zicem, în WMIC, și care trimite comanda pentru descărcarea unui fișer XSL, ce conține un JavaScript... Și de aici povestea-i gata!
Dacă utilizatorii finali sunt avertizați asupra riscurilor la care se expun deschizând mail-uri de la adresanți necunoscuți sau attachment-uri ce conțin fișiere ce nu sunt folosite în mod curent, nivelul de risc poate scădea considerabil. Dificultatea constă însă în faptul că nu toate fișierele dau de bănuit. De exemplu, unele documente Microsoft Office atunci când sunt deschise vă solicită să activați comenzi macro. Ori macro-urile reprezintă un mijloc utilizat frecvent pentru lansarea atacurilor Fileless. Pentru a preveni astfel de situații, cel mai sigur ar fi să dezactivați toate macro-urile, pentru a avea garanția că nu rulați un cod necunoscut în sistemul vostru. Dar, din nou, recomandarea nu se aplică tuturor.
Nu în ultimul rând, puteți implementa soluții de securitate avansate, care să includă funcționalități de tipul „Behavioral analytics“ și care să acționeze complementar sistemelor de protecție folosite deja, monitorizând permanent procesele „in-memory“ derulate și traficul din rețea. Cu ajutorul lor, puteți reduce riscurile la un nivel controlabil și puteți interveni în timp util pentru eliminarea amenințărilor depistate.

Măsuri sunt, soluții – de asemenea.
Dacă punerea lor în practică și alegerea aplicațiilor adecvate vă ridică probleme, specialiștii PRAS vă pot ajuta. Oferta noastră include de la servicii de consultanță, implementare, personalizare și integrare, până la training, suport și mentenanță. Prin urmare, nu trebuie decât să ne contactați.