MiniFilter se može zloupotrebiti da bi se zaobišao EDR

MiniFilter se može zloupotrebiti da bi se zaobišao softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) otkriva Eito Tamura, sigurnosni istraživač kompanije Tier Zero Security. Otkriće pokazuje da bi zlonamjerni akteri mogli iskoristiti Windows MiniFilter upravljačke softvere kako bi zaobišli softver za detekciju i odgovor na prijetnje (EDR) i na taj način potencijalno ugrozili bezbjednost sistema koji rade na Windows platformi.

MiniFilter

MiniFilter se može zloupotrebiti da bi se zaobišao EDR; Source: Bing Image Creator

MINIFILTER

MiniFilter upravljački softveri (eng. drivers) su ključna komponenta u operativnom sistemu Windows, odgovorni za nadgledanje i filtriranje aktivnosti sistema datoteka. Oni rade unutar prostora sistemskog jezgra (eng. kernel), što im omogućava da presretnu i manipulišu podacima pre nego što stignu na svoje odredište. Jedan od takvih upravljačkih softvera je Sysmon, koji profesionalci za bezbjednost često koriste za traženje prijetnji i reagovanje na incidente zbog njegovih širokih mogućnosti evidentiranja.

 

Zloupotreba

Ranjivost koja se koristi u ovom slučaju se vrti oko Altitude postavke unutar unosa u registru upravljačkih softvera MiniFilter. Ovi upravljački softveri su ključna komponenta Windows ekosistema, odgovorni za upravljanje i modifikovanje ulazno/izlaznih (I/O) operacija unutar operativnog sistema bez direktnog pristupa sistemu datoteka. Oni koriste Filter Manager za pojednostavljeni razvoj, omogućavajući im da dosljedno presretnu različite operacije sa datotekama. Međutim, ovaj dizajn mogu da iskoriste zlonamjerni akteri koji žele da izbjegnu softver za detekciju i odgovor na prijetnje (EDR).

Ranjivost leži u Altitude vrijednosti koja je dodijeljena svakom MiniFilter upravljačkom softveru (između 0 i 429900), koja određuje njihov redosljed Filter Manager učitavanja. Manipulišući Windows sistemskim registrima, zlonamjerni akter može da ponovo dodjeli Altitude vrijednost EDR upravljačkog softvera drugom MiniFilter upravljačkom softveru koji se ranije učitava, sprečavajući da se softver za detekciju i odgovor na prijetnje (EDR) registruje u Filter Manager-u. Ovo efikasno zaslepljuje telemetriju softvera za detekciju i odgovor na prijetnje (EDR), dozvoljavajući zlonamjernim aktivnostima da ostanu neotkrivene.

Ovo funkcioniše tako što zlonamjerni akteri mogu da koriste nekonvencionalni tip sistemskog registra koji se zove REG_MULTI_SZ umjesto standardnog REG_DWORD za Altitude unose. Ovaj pristup omogućava zlonamjernim akterima da dodjeljuju više vrijednosti jednom unosu, efektivno stvarajući duple Altitude vrijednosti koje nisu mogle biti otkrivene kao nevažeće zbog ograničenja procesa validacije kompanije Microsoft, proizvođača Windows operativnog sistema. Ova tehnika može da blokira učitavanje EDR upravljačkog softvera, onemogućavajući zaštitu u realnom vremenu i omogućavajući izvršavanje zlonamjernih alata kao što je Mimikatz bez otkrivanja.

 

“Ovo efikasno zaslepljuje telemetriju blokiranjem povratnih poziva sistemskog jezgra. Ovo iskorištava redosljeda MiniFilter učitavanja i zahtev da Altitude svakog MiniFilter upravljačkog softvera mora biti jedinstvena”

– Eito Tamura, Principal Consultant, Tier Zero Security –

 

Ublažavanja zloupotrebe

Kao odgovor na ovu zloupotrebu, kompanija Microsoft je primijenila nekoliko ublažavanja. Jedna takva mjera uključuje pojavu upozorenja i prekid regedit procesa kada se pokuša promijeniti Altitude vrijednost Sysmon upravljačkog softvera korištenjem nepodržanih tipova sistemskih registra. Ova akcija efikasno sprečava zlonamjerne aktere da iskoriste ovu ranjivost.

Međutim, ovo ne eliminiše druge vektore napada kao što je korištenje podrazumijevanih MiniFilter upravljačkih softvera ili ciljanje kritičnih upravljačkih softvera kao što su WdFilter i MsSecFlt. Da bi riješili ove preostale ranjivosti, neophodno je da timovi u bezbjednosno operativnim centrima (eng. Security Operation CenterSOC) usvoje višeslojnu strategiju odbrane koja uključuje praćenje promjena sistemskih registara u vezi sa Altitude vrijednostima u svim MiniFilter upravljačkim softverima, implementaciju jakih kontrola pristupa, ažuriranje softvera i edukaciju korisnika o rizik od klikanja na sumnjive veze ili preuzimanja neprovjerenih datoteka.

 

Zaobilaženje ublažavanja

Igra mačke i miša između sigurnosnih istraživača i bezbjednosnih timova sa jedne strane i zlonamjernih aktera sa druge strane se nastavlja. Kako se razvijaju tehnike ublažavanja, tako se razvijaju i metode za njihovo zaobilaženje. U nastavke će biti riječi o potencijalnim načinima zaobilaženja iznad navedenog ublažavanja kompanije Microsoft koje sprečava promjenu Altitude vrijednosti Sysmon upravljačkog softvera korištenjem nepodržanih tipova sistemskih registra. Zlonamjernim akterima potencijalno ostaju sljedeće mogućnosti:

  1. Manipulacija zasnovana na vremenu, gdje bi zlonamjerni akteri mogli da manipulišu redosljedom učitavanja MiniFilter upravljačkih softvera uvođenjem kašnjenja u njihovo vreme učitavanja, što bi im omogućilo da izmjene podešavanja sistemskih registara prije nego što legitimni EDR upravljački softveri budu imali priliku da se registruju kod Filter Manager-a,
  2. Ako se manipulacija zasnovana na vremenu pokaže neuspješnom, zlonamjerni akteri bi mogli da traže alternativne metode za modifikaciju podešavanja sistemskog registra, kao što je iskorištavanje ranjivosti u operativnom sistemu ili korištenje nedokumentovanih funkcija,
  3. Zlonamjerni akteri mogu koristiti višestepene napade, gdje prvo zaobilaze ublažavanja da bi dobili pristup, a zatim koriste taj pristup da dalje manipulišu sistemom i izbjegavaju otkrivanje,
  4. U nekim slučajevima, zlonamjerni akteri mogu da pribjegnu taktikama društvenog inženjeringa kako bi ubijedili administratore sistema ili programere da namjerno ili nenamjerno izmjene podešavanja sistemskih registara na svojim sistemima.

 

Uticaj

Uticaji ove ranjivosti su dalekosežne, jer naglašavaju potencijalnu slabost odbrambenih mehanizama operativnog sistema Windows od sajber prijetnji. Zlonamjerni akteri sada mogu da koriste MiniFilter upravljačke softvere ne samo za manipulaciju EDR upravljačkim softverima, već i na svim upravljačkim softverima prisutnim u sistemu, što podvlači da je sveobuhvatno praćenje i reagovanje ključno za efikasnu odbranu.

Da bi se suprotstavili ovoj prijetnji, timovi u bezbjednosno operativnim centrima (SOC) moraju da daju prioritet pažljivom praćenju promjena sistemskih registra na promjene koje se odnose na Altitude u svim MiniFilter upravljačkim softverima. Brz odgovor na bilo koju otkrivenu anomaliju može pomoći da se minimizira potencijalna šteta i spriječi dalje korištenje ranjivosti. Pored toga, primjena robusnih kontrola pristupa i redovno ažuriranje sistemskog softvera može pomoći u smanjenju rizika od uspješnih napada.

 

ZAKLJUČAK

Zloupotreba Windows MiniFilter upravljačkog softvera od strane zlonamjernih aktera se pojavila kao značajna briga za profesionalce u sajber bezbjednosti i timove u bezbjednosno operativnim centrima (SOC) širom sveta. Ova ranjivost omogućava zlonamjernim akterima da zaobiđu softver za detekciju i odgovor na prijetnje (EDR), potencijalno kompromitujući bezbjednosni položaj organizacije bez podizanja alarma. To znači da bilo kakva zlonamjerna aktivnost koja se dogodi na sistemu neće biti otkrivena niti prijavljena timu u bezbjednosno operativnim centrima (SOC) radi analize i odgovora.

U nastaloj situaciji, timovima u bezbjednosno operativnim centrima (SOC) se savjetuje da prate sumnjive promjene sistemskih registara u vezi sa Altitude vrijednostima u svim MiniFilter upravljačkim softverima, a ne samo u Sysmon. Brzo reagovanje na takve promjene ključno je za održavanje efektivnog bezbjednosnog položaja i smanjivanje rizika od uspješnog napada.

Treba voditi računa da softveri za detekciju i odgovor na prijetnje (EDR) igraju vitalnu ulogu u otkrivanju prijetnji i reagovanju na njih, ali oni nisu svemogući. Razumijevanjem ove ranjivosti i preduzimanjem proaktivnih mjera za njeno ublažavanje, organizacije mogu da unaprijede svoj ukupni bezbjednosni stav i bolje se zaštite od naprednih trajnih prijetnji (eng. Advanced persistent threat – APT) i drugih zlonamjernih aktera.

 

ZAŠTITA

Kako bi se zaštitili, organizacije i timovi u bezbjednosno operativnim centrima (SOC) bi trebali da primjene sljedeće preporuke:

  1. Redovno ažurirati softver za detekciju i odgovor na prijetnje (EDR), pošto proizvođači često objavljuju ispravke za poznate ranjivosti kao što je i MiniFilter,
  2. Ograničiti korisničke naloge sa administrativnim privilegijama da bi se smanjila potencijalna šteta od uspješnog napada. Ovaj princip može pomoći u sprečavanju neovlaštenih modifikacija sistemskih datoteka i unosa u sistemskim registrima,
  3. Primijeniti alata za praćenje koji mogu pratiti promjene u Windows sistemskim registrima, pošto manipulacija određenim ključevima sistemskih registara mogu dovesti do zloupotrebe MiniFilter upravljačkih softvera,
  4. Koristiti listu dozvoljenog softvera da bi se ograničili softveri koji mogu da se pokreću na sistemima, smanjujući površinu napada za potencijalne prijetnje,
  5. Implementirati više slojeva bezbjednosti, kao što su antivirusni softver, zaštitni zidovi i sistemi za otkrivanje/prevenciju upada (eng. intrusion detection/prevention systems – IDPS). Svaki od ovih slojeva pruža dodatnu barijeru protiv potencijalnih napada,
  6. Koristiti jake kontrole pristupa da bi se ograničilo ko može da mijenja kritične sistemske datoteke i unose u sistemske registre. Ovo uključuje korištenje dozvola koje omogućavaju samo neophodne promjene i praćenje aktivnosti korisnika radi sumnjivog ponašanja,
  7. Obrazovati korisnike o najboljim praksama za bezbjedno korištenje računara, kao što je neotvaranje neočekivanih priloga elektronske pošte ili klikanje na veze iz nepouzdanih izvora. Edukacija korisnika može pomoći u sprečavanju da nehotice unesu prijetnje u sistem,
  8. Redovno provjeravati sistem da bi se identifikovale sve potencijalne ranjivosti i preduzele korektivne mjere kada je to potrebno. Ovo uključuje pregled instaliranih MiniFilter upravljačkih softvera, praćenje neobičnih aktivnosti i provjeru da li softver za detekciju i odgovor na prijetnje (EDR) ispravno funkcioniše,
  9. Redovno praviti rezervne kopije kritičnih podataka da da bi se obezbijedio kontinuitet poslovanja u slučaju napada ili kompromitovanja sistema. U slučaju uspješne infekcije, treba biti moguće vratiti svoje sisteme iz čiste rezervne kopije i na taj način smanjiti potencijalnu štetu,
  10. Razvijati Plan odgovora na sajber prijetnju kako bi se smanjio uticaj uspješnog napada zloupotrebom MiniFilter upravljačkih softvera. Ovo bi trebalo da uključuje korake za izolovanje zaraženih sistema, zadržavanje širenja zlonamjernih aktivnosti i vraćanje zahvaćenih podataka iz rezervnih kopija. To podrazumijeva i redovno testiranje Plan odgovora na sajber prijetnju kako bi se osiguralo da je efikasan i ažuriran sa najnovijim prijetnjama.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.