Nowa metoda cyberataku. Hakerzy omijają systemy EDR
Eksperci ujawnili nową technikę ataku cybernetycznego. Atakujący przy pomocy podstawowych uprawnień użytkownika omijają narzędzia służące wykrywaniu i reagowaniu na podejrzane aktywności (EDR). Przedstawiamy, jak taki atak wygląda i jak się przed nim zabezpieczyć. Jak taki cyberatak przebiega? Dotychczasowo hakerzy, aby uniknąć wykrycia przez systemy EDR, musieli zyskać podwyższone uprawnienia, takie jak dostęp administracyjny. Cyberprzestępcy jednak […] Artykuł Nowa metoda cyberataku. Hakerzy omijają systemy EDR pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.
Eksperci ujawnili nową technikę ataku cybernetycznego. Atakujący przy pomocy podstawowych uprawnień użytkownika omijają narzędzia służące wykrywaniu i reagowaniu na podejrzane aktywności (EDR). Przedstawiamy, jak taki atak wygląda i jak się przed nim zabezpieczyć.
Jak taki cyberatak przebiega?
Dotychczasowo hakerzy, aby uniknąć wykrycia przez systemy EDR, musieli zyskać podwyższone uprawnienia, takie jak dostęp administracyjny. Cyberprzestępcy jednak znajdują nowe sposoby, aby uśpić czujność potencjalnych ofiar. Ostatnio popularność zyskały fałszywe SMS-y wysyłane masowo do posiadaczy iPhone’ów.
W ramach nowej metody cyberprzestępcy stosują maskowanie i przekształcają złośliwe ładunki (payloads) w procesy, które na pierwszy rzut oka wyglądają na legalne. Dzięki temu mogą skutecznie oszukać zarówno automatyczne systemy wykrywania, jak i analityków zajmujących się cyberbezpieczeństwem.
Zgodnie z raportem Zero Salarium, analiza zdarzeń związanych z tworzeniem procesów umożliwia identyfikację potencjalnych zagrożeń. Wiele narzędzi EDR rejestruje szczegółowe informacje o uruchamianych procesach, w tym wiersz poleceń, bieżący katalog (ang. CurrentDirectory) oraz identyfikator procesu nadrzędnego (ang. ParentProcessID).
Z kolei analitycy często koncentrują się na badaniu podejrzanych procesów na podstawie ich lokalizacji i nazw plików. Przykładowo proces uruchomiony z C:\Program Files\WindowsDefender\MsMpEng.exe będzie wyglądał prawidłowo, natomiast proces uruchomiony z %TEMP%\SuperJuicy.exe już wzbudzi podejrzenia.
Programy EDR polegają na ochronie systemu, aby zabezpieczać katalogi systemowe, takie jak C:\Program Files. Bez uprawnień administratora napastnicy nie mogą dokonać złośliwych działań w chronionych katalogach. Jednak nowa technika obchodzi te ograniczenia, manipulując samą ścieżką plików.
Techniki maskowania plików w atakach cybernetycznych
Cyberprzestępcy stosują różne metody maskowania plików, aby ich działania nie wzbudzały podejrzeń. Najczęściej wykorzystywane techniki to:
Wyróżnia się głównie 3 typy maskowania plików:
- Podwójne rozszerzenia: np. dokument.pdf.exe;
- Right-to-Left Override (RLO): odwracanie kolejności znaków w nazwie pliku za pomocą specjalnych znaków Unicode;
- Imitacja nazw legalnych plików: np. zmiana nazwy na svchost.exe (nazwa używana przez systemowe procesy Windows)
Jedną z najnowszych metod jest manipulacja nazwami katalogów poprzez wykorzystanie znaków Unicode. Jak to działa?
- Haker tworzy katalog: C:\Program Files 00 z pełnymi uprawnieniami do zapisu;
- Zmienia jego nazwę na C:\Program[U+2000]Files – wykorzystując znak Unicode U+2000 (En Quad), który wygląda jak zwykła spacja;
- Kopiuje zawartość C:\Program Files\Windows Defender do nowego katalogu i umieszcza tam złośliwy plik SuperJuicy.exe;
- Gdy proces zostaje uruchomiony, Sysmon rejestruje go jako legalnie wyglądającą ścieżka: C:\Program Files\Windows Defender\SuperJuicy.exe.
Bez głębszej analizy analitycy mogą uznać plik za bezpieczny. Co gorsza, popularne narzędzia do przeglądania logów (aktywności) często nie wykrywają ukrytych znaków Unicode, co sprawia, że ten rodzaj ataku jest szczególnie trudny do zidentyfikowania.
Jak zabezpieczyć się przed atakiem?
Aby zabezpieczyć systemy przed tego typu atakami, warto wdrożyć następujące rozwiązania:
- Zaawansowane logowanie – Warto skonfigurować narzędzia EDR, aby wykrywały ścieżki zawierające podejrzane znaki Unicode;
- Lepsza wizualizacja logów – Narzędzia do analizy powinny wyświetlać ukryte znaki Unicode w sposób jawny, np. Program[En Quad]Files zamiast Program Files;
- Blokowanie tworzenia folderów – Ograniczenie możliwości zakładania katalogów we wrażliwych lokalizacjach, takich jak C:\Program Files, może skutecznie utrudnić atak.
Cyberprzestępcy stale udoskonalają swoje metody, dlatego ważne jest obserwowanie działań zespołów ds. bezpieczeństwa, aby być na bieżąco i móc wdrażać nowoczesne techniki detekcji zagrożeń. Bardzo często giganci na rynku technologicznym publikują wskazówki dot. bezpieczeństwa w sieci. W przeciwnym razie złośliwe oprogramowanie czy działanie hakerów może bez przeszkód funkcjonować w systemie, podszywając się pod zaufane procesy.
Źródło: CyberSecurityNews. Zdjęcie otwierające: Mikhail Nilov / Pexels
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.
Artykuł Nowa metoda cyberataku. Hakerzy omijają systemy EDR pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.
