Automatizovane tehnologije kompanije Kaspersky Lab su otkrile prethodno nepoznatu ranjivost sistema Microsoft Windows. Neidentifikovana kriminalna grupa ga je eksploatisala, u pokušaju da stekne potpunu kontrolu nad targetiranim uređajem. Napad je ciljao na srž sistema – njegovo jezgro – kroz bekdor konstruisan od ključnog elementa Windows operativnog sistema.
Bekdor je ekstremno opasan tip malvera, s obzirom na to da omogućuje akterima pretnji da diskretno kontrolišu zaražene mašine u maliciozne svrhe. Takvu eskalaciju privilegija treće strane je obično teško sakriti od bezbednosnih rešenja. Ipak, bekdor koji eksploatiše prethodno nepoznati bag u sistemu – ranjivost nultog dana – ima značajno veće šanse da ostane neprimećen. Uobičajena bezbednosna rešenja ne mogu da prepoznaju zarazu sistema, niti da zaštite korisnike od pretnje koju tek treba prepoznati.
Exploit Prevention tehnologija kompanije Kaspersky Lab je, doduše, uspela da detektuje pokušaje eksploatisanja nepoznate ranjivosti Microsoft Windows operativnog sistema. Otkriven je sledeći scenario napada: kada je maliciozni .exe fajl pokrenut, instalacija malvera je započeta. Infekcija je eksploatisala ranjivost nultog dana i stekla privilegije za uspešnu istrajnost na mašini žrtve. Malver je onda inicirao pokretanje bekdora razvijenog sa legitimnim elementom Windows-a, prisutnim na svim mašinama koje funkcionišu po ovom operativnom sistemu – scripting okvir zvani Windows PowerShell. Ovo je omogućilo akterima pretnji da budu neprimetni i izbegnu razotkrivanje, štedeći vreme potrebno za pisanje koda za maliciozne alate. Malver je zatim preuzeo još jedan bekdor sa popularnog legitimnog servisa za skladištenje poruka, što je kriminalcima dalo potpunu kontrolu nad zaraženim sistemom.
,,U ovom napadu, primetili smo dva glavna trenda koja često viđamo kod APT pretnji (Advanced Persistent Threats). Prvo, korišćenje lokalnih ekspliota sa privilegijama u cilju uspešne istrajnosti na mašini žrtve. Drugo, upotreba legitimnih okvira kao što je Windows PowerShell za malicioznu aktivnost na mašini žrtve. Ova kombinacija akterima pretnji daje mogućnost da se provuku pored standardnih bezbednosnih rešenja. Da bi se takve tehnike razotkrile, bezbednosno rešenje mora koristiti mašine za sprečavanje eksploita i detektovanje ponašanja”, objašnjava Anton Ivanov (Anton Ivanov), stručnjak za bezbednost u kompaniji Kaspersky Lab.
Proizvodi kompanije Kaspersky Lab detektuju eksploite kao:
-
HEUR:Exploit.Win32.Generic
-
HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic Ranjivost je prijavljena kompaniji Microsoft i zakrpljena 10. aprila.
Kako biste sprečili instalaciju bekdora putem ranjivosti nultog dana Windows-a, kompanija Kaspersky Lab preporučuje preduzimanje sledećih bezbednosnih mera:
-
Kada je ranjivost zakrpljena i zakrpa preuzeta, akteri pretnje gube mogućnost da je koriste. Instalirajte Microsoft-ovu zakrpu za novu ranjivost što pre.
-
Ukoliko ste zabrinuti za bezbednost cele organizacije, vodite računa o tome da je svaki softver ažuriran čim se objavi nova zakrpa. Koristite bezbednosne proizvode sa opcijama vulnerability assessment i patch management kako bi ovi procesi bili automatski.
-
Koristite dokazano bezbednosno rešenje sa sposobnostima detekcije zasnovane na ponašanju, radi zaštite od nepoznatih pretnji, kao što je Kaspersky Endpoint Security
-
Obezbedite vašem bezbednosnom timu pristup poslednjim informacijama o sajber pretnjama. Privatni izveštaji o najnovijim razvojima u oblasti pretnji su dostupni klijentima Kaspersky Intelligence Reporting. Za više detalja, kontaktirajte: intelreports@kaspersky.com
- Poslednje, ali ne i najmanje važno, vodite računa o tome da je vaše osoblje obučeno kada je reč o osnovama poznavanja sajber bezbednosti.