Gli attacchi di tipo Living off the Land (che utilizzano programmi legittimi o caratteristiche del sistema operativo per causare danni) non sono una novità; tuttavia, poiché gli esperti monitorano i software moderni suscettibili ad attacchi LotL, i criminali informatici si sono dovuti innovare. Alla RSA Conference 2021, iricercatori Jean-Ian Boutin e Zuzana Hromcova hanno descritto una di queste innovazioni, ovvero l’uso di componenti e programmi legittimi di Windows XP.
Living off the Land e componenti vulnerabili di Windows XP
Studiando l’attività del gruppo InvisiMole, Boutin e Hromcova hanno notato che l’uso di file per questo sistema operativo obsoleto ormai da tempo li aiutava a passare inosservati. I ricercatori hanno dato a file il nome generale di VULNBins, simile al nome LOLBins, che la comunità di sicurezza applica ai file utilizzati negli attacchi Living off the Land.
Naturalmente, scaricare un file obsoleto sul computer della vittima richiede l’accesso al computer. Ma i VULNBin sono generalmente utilizzati per permanere in un sistema mirato senza essere notati, non per un tentativo efficace di intrusione.
Esempi specifici di utilizzo di programmi e componenti di sistema obsoleti
Se un cybercriminale non riesce a ottenere i diritti di amministratore, una tattica che può utilizzare per rimanere nel sistema implica l’uso di un vecchio lettore video su cui è presente una nota vulnerabilità buffer overflow. Attraverso il Task Scheduler, i criminali informatici creano una attività programmata che richiede l’uso del lettore (il cui file di configurazione è stato modificato per sfruttare la vulnerabilità) e caricano il codice necessario per la fase successiva dell’attacco.
Se i criminali informatici di InvisiMole riescono a ottenere i diritti di amministratore, possono implementare un altro metodo che utilizza il componente legittimo del sistema setupSNK.exe, la libreria di Windows XP wdigest.dll, e Rundll32.exe (anch’esso dal sistema obsoleto), necessario per eseguire la libreria. Successivamente manipolano i dati che la libreria carica in memoria. La libreria è stata creata prima dell’applicazione della tecnologia ASLR, quindi i criminali informatici conoscono l’indirizzo esatto dove verrà caricata nella memoria .
La maggior parte del payload dannoso è memorizzata nel registro in forma cifrata, e tutte le librerie e gli eseguibili che usano sono legittimi. Per questo motivo a tradire la presenza di un nemico all’interno sono solamente il file con le impostazioni del lettore e il piccolo exploit che riguarda le librerie obsolete. Di norma, questo non è sufficiente per insospettire un sistema di sicurezza.
Come rimanere protetti
Per impedire ai criminali informatici di utilizzare vecchi file e componenti di sistema obsoleti (specialmente quelli firmati da un editore legittimo), un buon inizio sarebbe quello di disporre di un database di tali file. Permetterebbe alle difese esistenti di bloccarli o almeno rintracciarli (se per qualche motivo il blocco non fosse possibile). Ma vorrebbe dire portarsi molto avanti.
Fino a quando tale elenco non esisterà, usate la nostra soluzione EDR per:
- Rilevare e bloccare l’esecuzione dei componenti di Windows ubicati al di fuori della cartella di sistema;
- Identificare i file di sistema non firmati (alcuni file di sistema sono firmati con un file di catalogo invece di una firma digitale unica, ma un file di sistema spostato su un dispositivo che non dispone del file .cat richiesto è considerato non firmato);
- Creare una regola per rilevare la differenza tra la versione del sistema operativo e la versione di ogni file eseguibile;
- Creare una regola simile per altre applicazioni, per esempio, per bloccare l’esecuzione di file compilati più di 10 anni fa.
Come abbiamo detto, per scaricare qualcosa sul computer di una vittima, i cybercriminali devono prima ottenere l’accesso al dispositivo. Per evitare che un qualsiasi VULNBin raggiunga le vostre workstation, installate una soluzione di sicurezza su tutti i dispositivi con accesso a Internet, sensibilizzate i dipendenti sulle moderne minacce informatiche e controllate attentamente gli strumenti di accesso da remoto.