Elastic Security Labs telah mengungkap sejumlah metode yang tersedia bagi penyerang yang ingin menjalankan aplikasi berbahaya tanpa memicu peringatan keamanan Windows, termasuk satu yang telah digunakan selama enam tahun.
Penelitian difokuskan pada cara untuk melewati Windows SmartScreen dan Smart App Control (SAC), perlindungan bawaan terhadap perangkat lunak berbahaya yang diunduh dari web di Windows 8 dan 11.
Di antara teknik yang ditemukan oleh Joe Desimone, pimpinan teknologi di Elastic, adalah teknik yang ia sebut “LNK Stomping,” sebuah bug dalam cara penanganan file pintasan Windows (.LNK) yang membatalkan Windows Tanda Web (MotW) – tanda digital yang ditempatkan pada file yang diunduh yang dapat berbahaya jika dijalankan.
SmartScreen hanya memindai berkas yang ditandai dengan MotW dan SAC diatur untuk memblokir jenis berkas tertentu jika ditandai, jadi metode apa pun yang dapat menghindari MotW tentu akan menjadi keuntungan bagi pelaku kejahatan malware.
Ini bukanlah teknik bypass MotW pertama yang diperkenalkan lebih itu bertahun-tahuntetapi fakta bahwa hal itu telah digunakan begitu lama dan, seperti dikatakan Desimone, “mudah” untuk dieksploitasi, membuat para pembela perlu meluangkan waktu untuk memahami cara kerjanya.
Namun, sejauh ini hanya itu yang ditawarkan: pemahaman. Peneliti mengatakan Elastic menghubungi Microsoft untuk mitigasi dan raksasa teknologi itu mengatakan hal itu mungkin akan diperbaiki di kemudian hari – tidak ada janji perbaikan di sini.
Teknik “sepele” ini melibatkan pembuatan file LNK dengan jalur target atau struktur internal yang tidak standar. Hal ini memaksa Windows Explorer untuk memperbaiki kesalahan kecil ini sebelum meluncurkan aplikasi berbahaya, tetapi dalam proses perbaikan kesalahan ini, MotW dihapus, yang berarti SmartScreen dan SAC tidak menandainya sebagai berbahaya.
Desimone mengatakan cara termudah untuk memicu bug ini adalah dengan menambahkan titik atau spasi di suatu tempat di jalur eksekusi target. Sesuatu seperti target.exe. akan bekerja, seperti halnya .\target.exeMisalnya.
Windows Explorer kemudian mengenali kesalahan pada jalur target dan mencari eksekusi yang sebenarnya, mengoreksi jalur target, dan memperbarui berkas yang pada gilirannya menghapus MotW.
“Kami mengidentifikasi beberapa sampel di Jumlah Virus yang menunjukkan bug tersebut, menunjukkan keberadaannya dalam penggunaan alam liar,” dikatakan Desimone. “Sampel tertua yang teridentifikasi diserahkan lebih dari enam tahun yang lalu.
“Kami juga mengungkapkan detail bug tersebut kepada MSRC. Bug tersebut mungkin akan diperbaiki dalam pembaruan Windows mendatang. Kami merilis informasi ini, beserta logika deteksi dan tindakan pencegahan, untuk membantu para pembela mengidentifikasi aktivitas ini hingga patch tersedia.”
Sementara itu, para profesional keamanan disarankan untuk menyesuaikan rekayasa deteksi mereka sesuai dengan kesenjangan cakupan yang ditunjukkan oleh Layar pintar dan SAC.
Bypass lainnya
SmartScreen dan SAC keduanya merupakan proteksi berbasis reputasi, dan metode yang secara historis telah teruji dan berhasil, namun sulit dijalankan, untuk menerobosnya adalah dengan menandatangani aplikasi berbahaya dengan sertifikat penandatanganan kode.
Secara teori, hal ini seharusnya sulit untuk diperoleh mengingat otoritas sertifikat seharusnya hanya menerbitkan sertifikat ini kepada bisnis yang sah, meskipun hal ini masih merupakan masalah praktik yang layak.
Desimone juga menyoroti sejumlah metode lain untuk melewati perlindungan berbasis reputasi, termasuk satu teknik yang disebutnya Pembajakan Reputasi, yang melibatkan pengidentifikasian program yang ada dengan reputasi baik dan mengganggunya untuk tujuan jahat.
Peneliti mengatakan host skrip ideal untuk serangan semacam ini, meskipun aplikasi apa pun yang dikontrol tanpa parameter baris umum akan berfungsi. Jika menyertakan kemampuan antarmuka fungsi asing (FFI), bahkan lebih baik, karena ini dapat digunakan untuk memuat kode yang buruk ke dalam memori. Penerjemah Lua, Node.js, dan AutoHotkey adalah target ideal untuk digunakan kembali di sini, katanya.
Penyemaian Reputasi tampaknya bekerja paling baik dengan SAC. SmartScreen menetapkan ambang batas yang lebih tinggi sebelum mempercayai suatu aplikasi, kata Desimone. Serangan ini melibatkan penyerang yang menjatuhkan biner yang tampaknya dapat dipercaya tetapi dapat dieksploitasi di lain waktu, seperti ketika kondisi tertentu terpenuhi. Ini juga dapat berisi kerentanan yang dapat dieksploitasi penyerang di lain waktu, misalnya.
Terakhir, Desimone mengatakan Reputation Tampering juga merupakan sebuah opsi. Metode ini melibatkan perubahan secara hati-hati pada bagian kode tertentu dari aplikasi yang dianggap aman oleh SAC dengan cara yang mendukung terjadinya serangan, sekaligus mempertahankan reputasi aman aplikasi tersebut.
“Melalui uji coba dan kesalahan, kami dapat mengidentifikasi segmen yang dapat dirusak dengan aman dan mempertahankan reputasi yang sama. Kami membuat satu biner yang dirusak dengan hash unik yang belum pernah dilihat oleh Microsoft atau SAC. Ini menyematkan shellcode 'execute calc' dan dapat dieksekusi dengan SAC dalam mode penegakan,” kata pimpinan teknologi Elastic. ®
