Новая угроза обнаружена: как злоумышленники могут взять зараженные устройства под контроль

В конце 2017 года специалисты компании RMRF Technology, которая специализируется на предоставлении услуг и разработке решений в сфере кибербезопасности, обнаружили подозрительную активность новой киберугрозы в разных компаниях.

Все началось с того, что в ряде украинских организаций, мы заметили схожую подозрительную активность. Впоследствии, сопоставляя все факты во время нашего цифрового расследования, а также анализируя отчеты ведущих вендоров, в частности Unit42 и Talos, мы поняли, что налицо целенаправленная атака (APT). Однако в ходе дальнейшего анализа, выяснилось, что данная угроза более сложная и комплексная, а многочисленные пути распространения атаки говорят о том, что под угрозой может быть фактически любая организация. Ниже описаны паттерн поведения вредоносной активности и векторы инфицирования.

В первую очередь данная вредоносная активность ведет непрерывный сбор данных с инфицированных устройств/сети. Независимо от того, является ли кража информации конечной целью атаки либо это один из этапов подготовки массовых атак, бизнесу нужно серьезно задуматься о защите своей информации.

После заражения с помощью фейковых обновлений подавляются средства безопасности ОС Windows, происходит установка модифицированных компонентов режима пользователя и ядра ОС, а также устанавливается подключение ОС к скрытой сети управления. 

В результате злоумышленники полностью получают контроль над операционной средой как на уровне отдельных пользователей, так и на уровне целых инфраструктур, при этом имея полного доступа к их администрированию. Другими словами, зараженными устройствами и инфраструктурами управляют неизвестные третьи лица и производят непрерывный сбор информации с них. При этом для пользователей и администраторов устройств не возникает никаких подозрительных активностей со стороны работы систем, что затрудняет обнаружение угрозы. Из-за ряда ее особенностей, мы назвали данную угрозу ShadowThreat. В качестве Remote Access Tool (Инструменты удаленного доступа) используются стандартные средства администрирования Windows (WMI), что еще больше затрудняет обнаружение данной вредоносной активности.

Основные пути заражения — съемные носители, сетевые протоколы, сервисы ОС Windows.

Вредоносный код чрезвычайно быстро распространяется как в ОС, так и в сети. По этой причине мы подозреваем наличие автоматизированного механизма заражения. Также нам достоверно известно, что в качестве инструмента закрепления вредоносной активности используется KMS — популярная утилита для взлома Windows. Это один из инструментов, используемых для компрометации официальных обновлений операционной системы.

Схожий процесс инфицирования также был описан Unit42 и Talos. Угроза является чрезвычайно сложной для обнаружения вследствие применения новых antiforensic  и antireverse техник.

Возможные последствия угрозы

Поскольку сейчас нам достоверно известно, что в рамках вредоносной активности постоянно собирается информация с зараженных устройств, то наиболее очевидное последствие этой атаки — утечка данных. Думаю, не стоит пояснять, что для любой компании это чревато репутационными и финансовыми потерями.

Также механизм контроля над операционной системой и подключения к скрытой сети дает злоумышленникам возможность использовать ресурсы компаний для проведения массовых атак. В том числе и DdoS-атак.

ЧИТАЙТЕ ТАКЖЕ: Сколько стоят ваши личные данные

Меры предосторожности и способы устранения.

Самая главная мера предосторожности — контроль обновлений. Важный элемент в жизненном цикле угрозы — установка скомпрометированных ("фальшивых") обновлений. Прежде чем установить обновление ПО или драйвера, рекомендуем зайти на официальный сайт разработчика и проверить, совпадают ли предлагаемые к автоматической установке с анонсированными разработчиком.

Пример скомпрометированного обновления: версии файла загруженного обновления и анонсированного на сайте разработчика не совпадают.

Остальные рекомендации не новы. Нужно использовать лицензионное ПО, а для минимизации последствий возможной атаки регулярно делать резервные копии чувствительных данных и проверять их целостность. Фишинг также является одним из подтвержденных путей распространения данной атаки. Поэтому стандартные рекомендации не переходить по подозрительным ссылкам, не открывать вложения, пересылки которых не ждете, а также проверять адреса отправителей писем, остаются актуальными. Угроза постоянно модифицируется, и мы будем информировать о новых признаках заражения и мерах предосторожности.

На сегодняшний день единственным способом устранения является полное форматирование жестких дисков с последующей переустановкой ОС Windows на всех устройствах предприятия одновременно с дополнительными процедурами на уровне сети. Также необходимым является проведение расследования инцидента (forensic) c целью установления частных путей и индикаторов заражения во избежание повторного инфицирования в будущем.

На какие симптомы следует обратить внимание?

В первую очередь одним из достоверных признаков являются вышеупомянутые скомпрометированные обновления. Опять же, даже в лицензионных копиях Windows, зараженных вредоносным кодом, обнаруживается KMS.

В качестве выводов хотелось бы обратить внимание на причины, которые привели к появлению данной атаки. К сожалению, они мало чем отличаются от предыдущих массовых атак и говорят об одном: украинские компании не сделали выводов после прошлых инцидентов и до приемлемого уровня культуры кибербезопасности нам еще далеко.

Не пропустите самые важные новости и интересную аналитику. Подпишитесь на Delo.ua в Telegram