Smart App Control i SmartScreen zaobilaženje

AUTOR ·

Windows Smart App Control i SmartScreen su ugrađene zaštite dizajnirane da spriječe korisnike da pokreću potencijalno zlonamjeran softver preuzet sa interneta u operativnom sistemu Windows 8 i Windows 11, respektivno. Međutim, sigurnosni istraživači kompanije Elastic Security Labs su otkrili nove tehnike koje mogu zaobići ove sigurnosne mehanizme.

Smart App Control i SmartScreen

Smart App Control i SmartScreen zaobilaženje; Source: Bing Image Creator

SMART APP CONTROL I SMARTSCREEN

Windows SmartApp Control (SAC) i SmartScreen su dva ugrađena mehanizma dizajnirana da zaštite korisnike od potencijalno zlonamjernog softvera preuzetog sa interneta u Windows 8, 10 i 11 operativnim sistemima. Ove bezbjednosne funkcije se oslanjaju na digitalnu oznaku pod nazivom oznaka interneta (eng. Mark of the Web – MotW), koja se postavlja na preuzete datoteke koje bi mogle biti zlonamjerne ako se izvrše. Međutim, kako je nedavno istraživanje pokazalo, postoje načini da se zaobiđu ove zaštite, ostavljajući korisnike ranjivim na sajber prijetnje.

 

Windows SmartApp Control

Windows SmartApp Control (SAC) je bezbjednosna funkcija zasnovana na reputaciji koja koristi Microsoft usluge obavještavanja aplikacija da bi napravila bezbjednosna predviđanja o aplikacijama i binarnim datotekama. Oslanja se na oblak za analizu datoteka u realnom vremenu na osnovu njihovih digitalnih potpisa, metapodataka datoteka i drugih relevantnih informacija. SAC provjerava status reputacije aplikacije ili binarne datoteke pre nego što je pokrenuta, pomažući korisnicima da spriječe pokretanje potencijalno štetnog softvera koji može da sadrži zlonamjerni softver ili zloupotrebe.

SAC koristi nekoliko faktora da bi napravio sigurnosna predviđanja:

  1. Reputacija aplikacije: Ovaj faktor razmatra da li je aplikacija primijećena u digitalnom prostoru, zajedno sa drugim relevantnim informacijama kao što su digitalni potpisi, metapodaci datoteka i poznati obrasci zlonamjernog ponašanja,
  2. Korisnički kontekst: Ovdje se uzima u obzir kontekst korisnika, uključujući njihovu lokaciju, konfiguraciju sistema i nedavne aktivnosti kako bi utvrdio da li je data aplikacija bezbjedna ili ne,
  3. Ponašanje aplikacije: Ovaj faktor analizira ponašanje aplikacije u realnom vremenu koristeći različite tehnike kao što su analiza kôda, zaštita memorije i izolovana okruženja (eng. sandboxing) za otkrivanje potencijalnih prijetnji,
  4. Okruženje: SAC razmatra okruženje u kojem će se aplikacija pokretati, uključujući verziju operativnog sistema, instalirani softver i druge relevantne faktore koji mogu uticati na njenu bezbjednost,
  5. Obavještavanje o prijetnjama: SAC koristi opsežnu Microsoft bazu podataka o prijetnjama da identifikuje poznate zlonamjerne aplikacije ili ponašanja i spriječi njihovo izvršavanje na sistemu korisnika.

 

SmartScreen

SmartScreen, predstavljen u operativnom sistemu Windows 8, je još jedna bezbjednosna funkcija dizajnirana da zaštiti korisnike od prijetnji zasnovanih na internetu skeniranjem datoteka označenih oznakom interneta (MotW) u potrazi za poznatim zlonamjernim sadržajem i provjerom njihove reputacije na osnovu Microsoft obimne baze obavještajnih podataka o prijetnjama. Kada korisnik pokuša da otvori izvršnu datoteku ili datoteku skripte preuzetu sa interneta, SmartScreen provjerava digitalni potpis u odnosu na pouzdane izdavače i vrši analizu ponašanja kako bi utvrdio da li je bezbjedna za pokretanje. SmartScreen koristi nekoliko faktora za predviđanje bezbjednosti:

  1. Digitalni potpisi: SmartScreen provjerava autentičnost i vjerodostojnost digitalnih potpisa datoteka pre nego što dozvoli njihovo izvršavanje na sistemu korisnika,
  2. Inteligencija o prijetnjama: SmartScreen koristi opsežnu Microsoft bazu podataka o prijetnjama da identifikuje poznati zlonamjerni sadržaj, kao što su virusi, crvi, trojanci i drugi tipovi zlonamjernog softvera,
  3. Analiza ponašanja: SmartScreen analizira ponašanje datoteka u realnom vremenu koristeći različite tehnike kao što su analiza kôda, zaštita memorije i izolovana okruženja da bi otkrio potencijalne prijetnje,
  4. Povratne informacije korisnika: Microsoft prikuplja povratne informacije korisnika o aplikacijama i koristi ih da poboljša svoju bazu podataka o prijtenjama i napravi preciznija bezbjednosna predviđanja za korisnike,
  5. Mašinsko učenje: SmartScreen koristi algoritme mašinskog učenja za analizu ponašanja datoteka u realnom vremenu, omogućavajući mu da se prilagodi novim prijetnjama kako se pojave.

 

OZNAKA INTERNETA

Windows oznaka interneta (MoTW) je identifikator koji koristi operativni sistem Microsoft Windows da označi datoteke koje su preuzete sa interneta kao potencijalno nebezbjedne. Ova funkcija pomaže u zaštiti korisnika od potencijalnih bezbjednosnih prijetnji, posebno onih koje predstavljaju zlonamjerni softver i drugi oblici štetnog softvera koji se mogu širiti putem preuzimanja sa spoljnih izvora.

Ova oznaka služi za pokretanje određenih bezbjednosnih provjera i upozorenja kada korisnici pokušaju da otvore ove datoteke. Na primjer, može da omogući funkcijama SmartApp Control i SmartScreen da skeniraju datoteke pre nego što se izvrše. Ako datoteka nosi oznaku interneta, obije ove funkcije će preduzeti radnju na osnovu svojih podešavanja (skenirati ili blokirati datoteku).

Kada korisnik preuzme datoteku sa interneta koristeći internet pregledač ili prilog elektronske pošte, Windows automatski prilaže dodatne informacije datoteci kao metapodatke. Ove informacije se čuvaju u alternativnom toku podataka, koji je dio sistema datoteka NTFS koji koristi Microsoft Windows operativni sistem.

Ovaj alternativni tok podataka sadrži element identifikatora koji ukazuje da je datoteka preuzeta sa interneta i da potencijalno može da sadrži štetan ili zlonamjeran sadržaj. Ove informacije omogućavaju Windows operativnom sistemu da primjeni dodatne mjere bezbjednosti kada radi sa takvim datotekama, uključujući prikazivanje upozorenja korisnicima pre nego što se one izvrše.

Kada korisnik pokuša da pokrene izvršnu datoteku sa oznakom interneta, Windows prikazuje poruku upozorenja koja obavještava korisnika da je datoteka preuzeta sa interneta i da može predstavljati bezbjednosni rizik. Korisniku se tada daje mogućnost da nastavi ili otkaže izvršavanje datoteke. Ova funkcija pomaže u zaštiti korisnika od potencijalno štetnih datoteka pružanjem dodatnog sloja sigurnosti kada se radi o preuzimanjima iz spoljnih izvora.

Važno je napomenuti da oznaka interneta utiče samo na datoteke otvorene na uređajima koji koriste operativni sistem Microsoft Windows i ne utiče na datoteke preuzete na drugim platformama. Ova funkcija igra ključnu ulogu u održavanju računarske bezbjednosti, posebno pošto se korisnici sve više oslanjaju na preuzimanje datoteka sa interneta u različite svrhe.

 

ZAOBILAŽENJE SIGURNOSNIH MEHANIZAMA

Interakcija između SmartApp Control i SmartScreen postaje ključna kada se radi sa datotekama označenim sa oznakom interneta, i njen cilj je da spriječi izvršavanje potencijalno zlonamjernog softvera preuzetog sa interneta, čime se čuva privatnost korisnika i integritet sistema.

Međutim, kako digitalne prijetnje nastavljaju da se razvijaju, zlonamjerni akteri smišljaju metode da zaobiđu ove bezbjednosne mjere i dobiju neovlašteni pristup. Jedna takva tehnika koju su otkrili sigurnosni istraživači, poznata je kao LNK Stomping. Ova greška u dizajnu načina na koji Windows rukuje datotekama prečica (.LNK) može se iskoristiti da poništi oznaku interneta, omogućavajući napadačima da izbjegnu SmartApp Control i SmartScreen provjere.

 

LNK Stomping

Kao što je već rečeno, SmartApp Control i SmartScreen bezbjednosne funkcije se oslanjaju na oznake interneta postavljene na preuzete datoteke za skeniranje. Međutim, LNK Stomping je greška koja iskorištava način na koji Windows operativni sistem rukuje datotekama prečica (.LNK), efektivno zaobilazeći ovaj ključni zaštitni mehanizam.

Datoteke Windows prečica (.LNK) su u suštini pokazivači ili reference na lokaciju originalne datoteke na sistemu ili mreži. Kada korisnik napravi .LNK datoteku, ona čuva putanju ciljne izvršne datoteke u svojim metapodacima. Ovaj dizajn omogućava korisnicima da lako pristupe često korišćenim aplikacijama bez potrebe za navigacijom kroz složene strukture direktorijuma. Međutim, ovu istu funkciju napadači mogu iskoristiti u zlonamjerne svrhe.

LNK Stomping tehnika koristi prednosti načina na koji Windows rukuje datotekama prečica i njihovim povezanim metapodacima. Kada se .LNK datoteka kreira sa pogrešnom ili nevažećom putanjom, Explorer.exe pokušava da riješi ovaj problem automatskim modifikacijom ciljnog svojstva LNK datoteke tako da koristi ispravno kanonsko formatiranje.

To znači da kada korisnik klikne na zlonamjernu vezu koja sadrži .LNK datoteku sa dodanom ciljnom izvršnom putanjom ili relativnom putanjom kao što je “.\target.exe”, Windows Explorer će potražiti i identifikovati odgovarajuće .exe ime, ispravite punu putanju, ukloniti oznaku interneta ažuriranjem datoteke na disku i pokrenite izvršni fajl. Ovaj proces se dešava bez pokretanja bilo kakvih bezbjednosnih provjera, omogućavajući zlonamjernom softveru da radi neotkriveno.

Značaj zaobilaženja provjera oznake interneta leži u ulozi kritične komponente Windows bezbjednosnih mehanizama kao što su SmartApp Control i SmartScreen. Ove zaštite se u velikoj mjeri oslanjaju na prisustvo oznake interneta da bi se utvrdilo da li je datoteka potencijalno zlonamjerna ili ne, čineći bilo koju metodu koja može da je zaobiđe vrijednom za zlonamjerne aktere koji žele da izbjegnu otkrivanje.

LNK Stomping tehnika je poznata od najmanje 2018. godine. Sigurnosni istraživači su pronašli više uzoraka zlonamjernog softvera na platformi VirusTotal, a najstariji datira više od šest godina pre njihovog izvještaja. Ovo sugeriše da su napadači koristili ovu ranjivost već neko vreme pre nego što je javno otkrivena.

 

Zloupotrebu certifikata za potpisivanje kôda

Još jedna tehnike na koju treba skrenuti pažnju je zloupotrebu certifikata za potpisivanje kôda, još jednu tehniku koju koriste zlonamjerni akteri da bi izbjegli otkrivanje i kompromitovanje sistema. Certifikati za potpisivanje kôda se izdaju samo legitimnim preduzećima ili organizacijama kako bi se osigurala autentičnost i integritet njihovog softvera. Međutim, ovi certifikati se mogu dobiti na manje etičke načine, omogućavajući zlonamjernim akterima da potpišu svoj zlonamjerni softver pouzdanim certifikatom.

Proces sticanja certifikata za potpisivanje kôda uključuje lažno predstavljanje preduzeća ili organizacije i njihovu kupovinu od organa za izdavanje certifikata (eng. Certificate Authorities – CA). Dok su organi za izdavanje certifikata implementirali različite mjere da spriječe neovlaštene kupovine, zlonamjerni akteri nastavljaju da pronalaze načine da zaobiđu ove mjere zaštite. Na primjer, mogu da koriste ukradene identitete ili da iskoriste ranjivosti u procesu izdavanja certifikata.

Jednom kada ga dobiju, autori zlonamjernog softvera mogu da potpišu svoj kôd pouzdanim certifikatom. Ovo dovodi do toga da je datoteka označena kao sigurna, čime se efektivno uklanja oznaka interneta iz nje, čineći je legitimnom i zaobilazeći bezbjednosne provjere kao što je antivirusni softver koji se oslanja na detekciju zasnovanu na potpisu. Ova tehnika se intenzivno koristi u ciljanim napadima na mete visoke vrijednosti, uključujući vladine agencije i velike korporacije.

 

Otimanje reputacije

Još jedan metod koji zlonamjerni akteri koriste da izbjegnu otkrivanje je otimanje reputacije. Otimanje reputacije podrazumijeva manipulisanje postojećim softverom sa dobrom reputacijom da bi služio zlonamjernim ciljevima napadača. Alati za skripte kao što su Lua, Node.js i AutoHotkey interpretatori su idealne mete za ovu tehniku zbog svoje sposobnosti da učitavaju loš kôd u memoriju preko okruženja stranih funkcija (eng. foreign function interface – FFI).

Iskorišćavanjem ovih ranjivosti, zlonamjerni akteri mogu zaobići zaštitu zasnovanu na reputaciji i pokrenuti zlonamjerni softver neotkriveni. Na primjer, mogu da naprave skriptu koja izgleda bezopasno, ali sadrži zlonamjerni softver skriven u svom okruženja stranih funkcija. Kada se skripta izvrši, zlonamjerni softver se učitava u memoriju, omogućavajući mu da radi bez provjere.

Jednostavno rečeno, otimanje reputacije uključuje identifikaciju postojećeg softvera sa dobrom ili pouzdanom reputacijom i manipulisanje njime u zlonamjerne svrhe. Cilj napadača je da iskoristi povjerenje koje ovom softveru daju različiti bezbjednosni sistemi i iskoristi ga kao početni pristupni vektor za dalje napade.

 

ZAKLJUČAK

Windows SmartApp Control i SmartScreen su osnovne bezbjednosne funkcije koje je dizajnirao Microsoft da zaštiti korisnike od potencijalnih prijetnji, posebno onih koje dolaze u obliku preuzetih datoteka sa interneta. Ove dvije funkcije rade zajedno da obezbijede dodatni sloj zaštite od zlonamjernog softvera, dopunjujući druge ugrađene Windows mehanizme zaštite, kao što su kontrola korisničkog naloga (eng. User Account Control – UAC) i Windows Defender Antivirus.

Međutim, nedostatke u dizajnu kao što je LNK Stomping, zloupotreba certifikata i otimanje reputacije mogu da iskoriste zlonamjerni akteri da zaobiđu ove bezbjednosne kontrole, naglašavajući važnost informisanja o potencijalnim ranjivostima i preduzimanja odgovarajućih mjera za zaštitu sistema od štete.

Razumijevanje ovih tehnika zaobilaženja je ključno za korisnike i sigurnosne timove, jer im omogućava da se usredsrede na rješavanje ključnih nedostataka u pokrivenosti u svojim bezbjednosnim sistemima. Budući da su svjesni takvih ranjivosti, korisnici, sigurnosni timovi i organizacije mogu da preduzmu korake da poboljšaju svojih mogućnosti otkrivanja i da se zaštite od potencijalnih prijetnji. Međutim, samo ovo saznanje ne pruža definitivno rješenje ili preventivne mjere protiv ovih tehnika zaobilaženja; ono samo nudi uvid u slabosti koje zlonamjerni akteri mogu da iskoriste.

 

ZAŠTITA

Finansijski motivisane grupe zlonamjernih aktera su otkrile načine da zaobiđu provjere oznake interneta, omogućavajući im da izbjegnu ove bezbjednosne sisteme. Da bi se zaštitili od tehnika kao što su LNK Stomping, zloupotreba certifikata i otimanje reputacije, korisnici, sigurnosni timovi i organizacije mogu preduzeti nekoliko mjera:

  1. Uvjeriti se da je sav softver na korisničkim sistemima ažuriran najnovijim bezbjednosnim ispravkama. Ovo uključuje operativne sisteme, internet pregledače i druge aplikacije. Ažuriranja često uključuju ispravke za ranjivosti koje bi se mogle iskoristiti da bi se zaobišle provjere oznake interneta,
  2. Koristiti robusnu platformu za zaštitu krajnjih uređaja koja može pomoći u zaštiti od zaobilaženja oznake interneta i drugih naprednih prijetnji. Potražite platformu za zaštitu krajnjih uređaja koja uključuje funkcije kao što su analiza ponašanja, izolovana okruženja (eng. sandboxing) i obavještajni podaci o pratnjama u realnom vremenu,
  3. Primjenjivati smjernice kontrole aplikacija koje će ograničiti izvršavanje neodobrenih aplikacija ili skripti na sistemima. Ovo može pomoći da se spriječi izvršavanje zlonamjernih datoteka koje provjere oznake interneta,
  4. Koristiti rješenje za filtriranje sadržaja koje može pomoći u blokiranju pristupa poznatim zlonamjernim internet lokacijama i preuzimanjima, smanjujući rizik od susreta sa prijetnjama koje zaobilaze provjere oznake interneta,
  5. Upoznati korisnike o tehnikama phishing napada, jer se ovi napdai često koriste kao vektori za isporuku prijetnji koje zaobilaze provjere oznake interneta. Obučiti zaposlene kako da identifikuju i prijave sumnjive elektronske poruke i priloge,
  6. Implementirati autentifikaciju u više koraka (eng. multi-factor authentication – MFA), jer dodaje dodatni nivo sigurnosti tako što od korisnika zahteva da obezbijede dva ili više oblika verifikacije pre pristupa osjetljivim sistemima ili podacima. Ovo može pomoći u sprečavanju neovlaštenog pristupa čak i ako se zaobiđu provjere oznake interneta.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.