Сигурност

Кибер престъпници се възползват от функция за съвместимост на Windows

Computer World

Когато Microsoft позволи на компаниите бързо да разрешават несъвместимости между своите приложения и новите версии на Windows, тя нямаше за цел да помага на кибер престъпниците. Сега обаче тази функция е обект на злоупотреби с цел незабелязани и устойчиви заплахи (persistent threats).

Т.нар. Windows Application Compatibility Infrastructure позволява на организациите да разработват поправки, наречени шимове (shims). Те се състоят от библиотеки, стоящи между приложенията и операционната система, които пренаписват заявките към приложно-програмния интерфейс и други атрибути, така че софтуерът да работи добре под по-нови версии на Windows.

Шимовете представляват временни решения, които позволяват старите програми да продължават да бъдат използвани, дори след като Microsoft променят работата на Windows. Те могат да бъдат инсталирани на компютрите чрез правилата на т.нар. групова политика, зареждат се заедно със стартирането на даденото приложение и са задължителни за изпълнение.

Специалисти по ИТ сигурност вече са предупреждавали, че тази функционалност може да бъде използвана за инжектиране на зловреден код в други процеси. Анализаторите от компанията FireEye споделят, че са виждали как тази техника се използва от финансово мотивирани престъпници, познати като FIN7 или Carbanak. От 2015 г. групата си е присвоила между 500 млн. и 1 млрд. долара от стотици финансови организации по целия свят.

Напоследък FIN7 са разнообразили своите цели, като през март са започнали насочена фишинг атака, насочена към служители на компании от различни сектори, подаващи заявки към Комисията по ценните книжа и борсите на САЩ, включително финансови услуги, транспорт, търговия, образование, ИТ услуги и електроника.

При по-скорошна атака пък групата е използвала скрипт за PowerShell, за да регистрира мошенически шимове за services.exe – легитимен процес в Windows. Това гарантира, че зловредният код се изпълнява при всяко стартиране на операционната система. Благодарение на него се създава възможност за таен достъп до процеса Windows Service Host (svchost.exe).

FIN7 са използвали същата техника за инсталиране на инструмент за събиране на данни за платежни карти от компрометираните системи. В тази атака фалшивият шим е бил маскиран като ъпдейт за Windows, използвайки описанието: „Microsoft KB2832077“. Този идентификатор не съответства на легитимен пач от Microsoft Knowledge Base. Т.е. ако бъде открит в системния регистър или в списъка с инсталирани програми, това е знак че компютърът е компрометиран от FIN7.

За засичане на такива атаки анализаторите от FireEye препоръчват наблюдаване на файловете в директориите съдържащи шимове, следене за промени в регистрационните ключове, свързани с шимовите бази данни, както и наблюдаване на процесите, изпращащи заявки до sdbinst.exe.





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X