Zloupotreba Windows search funkcionalnosti
Windows search, ugrađena funkcionalnost Microsoft operativnog sistema, postala je privlačna meta za zlonamjerne aktere. U nedavnim phishing kampanjama, napadači su iskoristili funkcionalnost pretraživanja ugrađenu u HTML kôd za distribuciju zlonamjernog softvera, stoji u izvještaju kompanije Trustwave SpiderLabs.
Zloupotreba Windows search funkcionalnosti; Source: Bing Image Creator
WINDOWS SEARCH FUNKCIONALNOSTI
Windows search funkcionalnost je sastavni dio Microsoft sistema za upravljanje datotekama, omogućavajući korisnicima da traže datoteke na svom lokalnom uređaju ili mrežnim resursima koristeći određene parametre. Uniform Resource Identifier – URI šema search-ms omogućava aplikacijama da otvore Windows Explorer aplikacija sa unaprijed definisanim upitom za pretragu koja se podrazumijevano izvodi na lokalnom indeksu, međutim, ova šema može biti primorana da cilja udaljene datoteke manipulisanjem sintaksom upita za pretragu.
Windows search zloupotreba
Fleksibilnost ove funkcionalnosti je čini privlačnom metom za zlonamjerne aktere koji žele da distribuiraju svoj zlonamjerni sadržaj kroz naizgled bezopasna sredstva. Posljednjih godina, napadači su koristili ove funkcije na različite načine, pre svega putem phishing elektronskih poruka koje sadrže HTML priloge prerušene u uobičajene dokumente poput faktura ili priznanica.
Proces počinje kada korisnik koji ništa ne sumnja primi zlonamjernu elektronsku poštu sa prilogom koji izgleda kao legitiman dokument. Prilog je zapravo HTML datoteka ugrađena u ZIP arhivu, dizajnirana da izbjegne detekciju od strane bezbjednosnih i antivirusnih skenera. Kada korisnik otvori ZIP datoteku, od njega se traži da omogući makroe ili skripte sadržane u HTML prilogu. Ove skripte iskorištavaju ranjivosti Windows search funkcionalnosti za izvršavanje batch datoteka koje se nalaze na udaljenim serverima bez znanja ili saglasnosti korisnika.
“HTML dokument služi kao ključna komponenta u ovom napadu, olakšavajući izvršavanje skripte koja iskorištava funkcionalnost Windows search. Iako ovaj napad ne koristi automatizovanu instalaciju zlonamjernog softvera, on zahteva od korisnika da se angažuje na razne upite i klikove.”
– Trustwave SpiderLabs –
Batch skripte zatim preuzimaju i izvršavaju dodatne korisne podatke sa udaljenih servera koristeći različite tehnike kao što su PowerShell komande ili Windows Management Instrumentation – VMI. Ovi sadržaji mogu uključivati praćenje korisničkog unosa (eng. keyloggers), ransomware, backdoors ili drugi zlonamjerni softver dizajniran za krađu osjetljivih informacija, šifrovanje datoteka za otkup, odobravanje neovlaštenog pristupa kompromitovanom sistemu i još mnogo toga.
ZAKLJUČAK
Ranjivosti Windows search funkcionalnosti postale su privlačna meta za zlonamjerne aktere koji žele da distribuiraju svoj korisni teret naizgled bezazlenim sredstvima kao što su phishing elektronske poruke koje sadrže HTML priloge prerušene u uobičajene dokumente.
Uticaj ovih napada na organizacije i pojedince može biti ozbiljan. Oni mogu dovesti do ugrožavanja podataka, finansijskih gubitaka zbog otkupa plaćenih napadačima, štete po reputaciju i potencijalnih pravnih posljedica ako se osjetljivim informacijama pogrešno rukuje ili otkrije neovlašteno pristupanje. Štaviše, korišćenje HTML priloga prerušenih u rutinske dokumente čini ove napade posebno izazovnim za otkrivanje korišćenjem tradicionalnih bezbjednosnih mjera elektronske pošte kao što su filteri za neželjenu poštu i antivirusni skeneri.
Sve navedeno, od organizacija i pojedinaca, zahtjeva da usvoje višeslojni pristup bezbednosti koji uključuje bezbjednost elektronske pošte, obrazovanje korisnika, kontrolu aplikacija, upravljanje ispravkama, segmentaciju mreže, zaštitu krajnjih tačaka, planiranje odgovora na incidente i redovno testiranje Preduzimanjem ovih koraka, organizacije i pojedinci mogu značajno da smanje njihov rizik da postanu žrtva napada koji iskorištavaju ranjivosti Windows search funkcionalnosti.
ZAŠTITA
Da bi se zaštitili korisnički sistemi od prijetnji napada zlonamjernog softvera koji zloupotrebljavaju funkcionalnost Windows search, od suštinskog je značaja je praćenje najboljih bezbjednosnih praksi, kao i svjesnost o potencijalnima rizicima povezanim sa ovim vektorom napada. U nastavku evo nekoliko ključnih koraka koji se mogu primijeniti u cilju zaštite korisničkih sistema od ovakvih prijetnji:
- Održavati sisteme ažurnim, jer je to prva linija odbrane. Potrebno je obezbijediti da je sav softver i svi operativni sistemi budu ažurirani sa najnovijim bezbjednosnim ispravkama i ažuriranjima. Napadi zlonamjernog softvera često iskorištavaju poznate ranjivosti, tako da ažuriranje sistema može pomoći u sprečavanju ovih prijetnji da zadobiju uporište u sistemu,
- Biti oprezan sa phishing porukama elektronske pošte, jer napadači obično koriste ovu vrstu napada kao svoj primarni vektor za distribuciju zlonamjernih datoteka koje zloupotrebljavaju Windows search funkcionalnost. Stoga je ključno da korisnici budu oprezni kada otvaraju priloge elektronske pošte ili kliknu na linkove dobijene iz nepoznatih izvora. Uvijek provjeriti identitet i autentičnost pošiljaoca pre nego što se stupi u interakciju sa bilo kojim sumnjivim sadržajem,
- Upotreba renomiranog antivirusnog softvera može pomoći u zaštiti sistema od poznatih prijetnji zlonamjernog softvera skeniranjem datoteka na viruse, crve, trojance i druge vrste zlonamjernog kôda. Osigurati da je antivirusno rješenje instalirano na uređaju redovno ažurirano i pokretati redovna potpuna skeniranja sistema kako bi se otkrile sve potencijalne prijetnje,
- Preporučeno je da se onemoguće nepotrebni protokoli, jer napadači koriste Windows search protokol (search-ms URI) za distribuciju zlonamjernog softvera, tako da onemogućavanje ove funkcije može pomoći u sprečavanju ovakvih napada. Ova funkcija se može onemogućiti promjenom podešavanja sistemskih registara, po preporuci sigurnosnih istraživača pokretanjem dvije komande: “reg delete HKEY_CLASSES_ROOT\search /f ” i “reg delete HKEY_CLASSES_ROOT\search-ms /f“. Međutim, treba imati na umu da ove komande mogu uticati na legitimne aplikacije i integrisane Windows funkcije koje se oslanjaju na ovaj protokol,
- Koristiti zaštiti zid kao suštinsku bezbjednosnu komponentu koja pomaže u zaštiti sistema od neovlaštenog pristupa i zlonamjernog saobraćaja. Uvjeriti se da je instaliran pouzdan zaštitni zid na uređaju i da je konfigurisan da blokira sve dolazne veze osim onih koje zahtijevaju legitimne aplikacije,
- Omogući blokiranje datoteka u antivirusnom softveru kako bi se spriječilo izvršavanje poznatih datoteka zlonamjernog softvera. Ova funkcija pomaže u zaštiti sistema od prijetnji koje pokušavaju da iskoriste ranjivosti ili zloupotrebe protokole kao što je search-ms URI za distribuciju zlonamjernog kôda,
- Koristiti izolovana okruženja (eng. sandbox) u kojem se mogu testirati sumnjive datoteke, aplikacije i internet lokacije lokacije bez ugrožavanja proizvodnih sistema. Korišćenjem izolovana okruženja, moguće je analizirati ponašanje potencijalno štetnih datoteka ili aplikacija u kontrolisanom okruženju pre nego što im se dozvoli da pristupe proizvodnom sistemu,
- Potrebno je obrazovati korisnike, jer je ljudski element je često najslabija karika u bilo kojoj bezbjednosnoj infrastrukturi. Zbog toga je od suštinskog značaja da se edukuju korisnici o rizicima povezanim sa phishing napadima i napadima zlonamjernog softvera koji zloupotrebljavaju Windows search. Ohrabriti korisnike da budu oprezni kada otvaraju priloge elektronske pošte ili klikću na linkove iz nepoznatih izvora i da odmah prijave svaku sumnjivu aktivnost IT osoblju.
Najvažnije je zapamtiti da je sajber bezbjednost kontinuiran proces, a ne jednokratni događaj, pa je potrebno biti informisan o novim prijetnjama i ranjivostima i preduzimati odgovarajuće mjere za zaštitu sistema u skladu sa tim.
