De la primii viruși informatici care răspândeau mesaje pe dischete până la atacurile complexe de azi, tacticile s-au transformat, dar obiectivul rămâne identic: abuzarea încrederii în instrumentele legitime ale sistemului pentru a masca scopuri malițioase. Recent, cercetătorii ReliaQuest au descoperit că un actor inițial de acces, denumit Storm-0249, exploatează soluții Endpoint Detection and Response și utilitare Windows de încredere pentru a încărca malware, a stabili comunicații și a obține persistență pe sisteme Windows, pregătind astfel posibile atacuri de tip ransomware.
Cazul studiat pornește de la o formă de inginerie socială numită ClickFix, în cadrul căreia victimele sunt amăgite să copieze și să execute comenzi curl în dialogul Run. Această acțiune oferă atacatorilor privilegii SYSTEM și descarcă un pachet MSI malițios. În paralel, un script PowerShell rău intenționat este preluat de pe un domeniu falsificat menit să semene cu Microsoft și este executat direct în memorie, fără a scrie pe disc. Abordarea „fileless” reduce probabilitatea detectării de către soluțiile antivirus bazate pe fișiere.
MSI-ul instalează o bibliotecă DLL malițioasă numită SentinelAgentCore.dll, plasată deliberat lângă executabilul legitim SentinelAgentWorker.exe, componentă a EDR-ului instalat. După aceea, atacatorii încarcă DLL-ul folosindu-se de executabilul semnat SentinelAgentWorker, o tehnică cunoscută drept DLL sideloading. Practic, procesul de încredere rulează codul atacatorilor, iar comportamentul malițios pare, la prima vedere, parte din operațiunile normale ale EDR-ului. Aceasta asigură o persistență discretă, capabilă să reziste chiar și la actualizările sistemului de operare.
Odată infiltrat, atacatorii utilizează componentele EDR compromise pentru a colecta identificatori de sistem cu ajutorul unor unelte Windows legitime, precum reg.exe și findstr.exe, și pentru a direcționa traficul de comandă și control criptat prin HTTPS. Interogările de registry și căutările de stringuri sunt operațiuni care în mod normal ar putea ridica semne de întrebare, dar atunci când provin din procese de încredere sunt adesea considerate activitate obișnuită și trec neobservate. ReliaQuest arată că sistemele compromise sunt profilate folosind MachineGuid, un identificator hardware unic. Ransomware-uri precum LockBit și ALPHV folosesc astfel de identificatori pentru a lega cheile de criptare de fiecare victimă, ceea ce indică faptul că Storm-0249 adaptează compromiterile inițiale în funcție de cerințele afiliaților de ransomware.
Cercetătorii atrag atenția că metoda nu se limitează la un anumit produs EDR; tehnica poate funcționa și cu alte soluții care se bazează pe procese semnate și privilegiate. Abuzul proceselor semnate și de încredere reușește să ocolească majoritatea mecanismelor tradiționale de monitorizare. Ca răspuns, principala recomandare este trecerea la detectarea bazată pe comportament, care poate sesiza când un proces de încredere încarcă DLL-uri nesemnate din locații neobișnuite. De asemenea, este importantă impunerea unor controale mai stricte asupra comenzilor curl, execuției PowerShell și utilizării uneltelor legitime ca LoLBins, astfel încât aceste mecanisme să nu fie transformate în troieni mascați.
Pe lângă măsurile tehnice sugerate de cercetători, se recomandă politici de control pentru instalările MSI, verificarea semnăturii codului și segregarea privilegiilor pentru a limita efectele unei compromiteri inițiale. Monitorizarea comportamentală a proceselor de securitate, împreună cu audituri periodice ale configurațiilor EDR, ajută la identificarea deviațiilor subtile. În plus, instruirea utilizatorilor privind pericolele lipirii de comenzi în fereastra Run rămâne o măsură simplă, dar eficientă pentru a preveni accesul inițial.
SentinelOne este menționat ca exemplu de instrument manipulat de atacatori pentru a-și ascunde activitatea. Abuzul proceselor semnate scoate în evidență o problemă mai largă: încrederea implicită în anumite unelte poate constitui o vulnerabilitate exploatabilă. O protecție eficientă necesită detectare bazată pe comportament, reguli stricte pentru execuții și o verificare atentă a fluxurilor ce implică curl, PowerShell sau LoLBins, iar exemplele din raportul ReliaQuest și nume precum LockBit sau ALPHV ilustrează clar riscurile acestor tactici. Ce măsuri ai considera necesare în organizația ta pentru a reduce riscul unor astfel de abuzuri?
Fii primul care comentează