OneDrive pretvoren u prijetnju

AUTOR ·

OneDrive aplikacija je nedavno označena od strane Kas-sec sigurnosnih istraživača kao potencijalni vektor napada kroz bočno učitavanje DLL datoteka. Njihovo otkriće ukazuje na evoluirajuće taktike koje zlonamjerni akteri mogu koristiti da izbjegnu otkrivanje i zadrže postojanost na kompromitovanim sistemima.

OneDrive

OneDrive pretvoren u prijetnju; Source: Bing Image Creator

ONEDRIVE ZLOUPOTREBA

U zamršenom pejzažu sajber prijetnji, zlonamjerni akteri neprestano razvijaju svoje taktike kako bi ostali korak ispred. Ova stalna igra mačke i miša između prijetnji i branilaca dovela je do nastanka sve naprednijih vektora napada. Jedan od zabrinjavajućih trendova jeste iskorištavanje legitimnih aplikacija za izvršavanje zlonamjernog kôda, pri čemu se vješto izbjegavaju tradicionalne bezbjednosne mjere. Takva tehnika je posebno podmukla, jer omogućava zlonamjernim akterima da se uklope u okruženje i time otežaju posao bezbjednosnim stručnjacima, koji teže da otkriju i pravovremeno odgovore na prijetnje. Koristeći povjerenje koje korisnici imaju u poznati softver, zlonamjerni akteri mogu dobiti neovlašteni pristup sistemima, održati postojanost i na kraju izvršiti proizvoljni kôd na kompromitovanim mašinama.

Napad bočnim učitavanjem DLL datoteka predstavlja jasan primjer ovog trenda. Ova napredna tehnika zasniva se na iskorištavanju legitimnih Windows aplikacija koje učitavaju zlonamjerne dinamičke biblioteke veza (eng. Dynamic Link Libraries – DLL), a one se zatim koriste za izvršavanje proizvoljnog kôda na ciljanom sistemu. Konkretno, zloupotreba Microsoft OneDrive aplikacije putem bočnog učitavanja DLL datoteka identifikovana je kao ozbiljan razvoj događaja, što naglašava potrebu da bezbjednosni stručnjaci i IT timovi detaljno razumiju ovaj mehanizam i razviju efikasne strategije odbrane.

 

Šta je bočno učitavanje DLL datoteka?

Napad bočnim učitavanjem DLL datoteka (eng. DLL sideloading attack) je napredna tehnika koju koriste zlonamjerni akteri kako bi dobili neovlašteni pristup i kontrolu u kontekstu pouzdanih procesa. Ova prikrivena metoda iskorištava način na koji Windows aplikacije učitavaju svoje neophodne biblioteke, omogućavajući zlonamjernim akterima da prevare legitiman softver da izvrši zlonamjerni kôd.

U suštini, kada se Windows aplikacija pokrene, ona traži i učitava razne DLL datoteke potrebne za njenu funkcionalnost sa određenih lokacija u hijerarhiji sistemskih direktorijuma. Ove lokacije uključuju isti direktorijum kao i sama izvršna datoteka, zatim direktorijum System32 i konačno druge direktorijume navedene u promjenljivoj okruženja PATH. Zlonamjerni akteri koriste ovaj mehanizam tako što postavljaju zlonamjerno kreiranu DLL datoteku (često identično nazvanu kao legitimna) na lokaciju koju aplikacija pretražuje prije nego što pronađe autentičnu verziju.

Ova obmana vara legitimnu aplikaciju da učita i izvrši zlonamjerni DLL, efikasno dajući zlonamjernom akteru kontrolu u kontekstu pouzdanog procesa. Zlonamjerna DLL datoteka zatim može da obavlja razne zlonamjerne aktivnosti, uključujući izvršavanje proizvoljnog kôda, uspostavljanje postojanosti na ugroženom sistemu, zaobilaženje bezbjednosnih kontrola radeći pod maskom legitimnog procesa, olakšavajući dalje faze napada kao što su krađa podataka ili raspoređivanje zlonamjernog softvera.

 

Napad na OneDrive

Suština ovog napada leži u legitimnoj prirodi OneDrive.exe, potpisane i pouzdane aplikacije kompanije Microsoft. Upravo ta legitimnost čini ga izuzetno efikasnim vektorom za zlonamjerne aktivnosti. Procesi povezani sa OneDrive aplikacijom često prolaze ispod radara softvera za detekciju i odgovor na prijetnje (eng. Endpoint Detection and Response – EDR) i drugih bezbjednosnih alata, jer se oslanjaju na reputaciju ovog programa kao pouzdanog.

Zlonamjerni akteri upravo to povjerenje koriste tako što ubrizgavaju zlonamjerne DLL datoteke u OneDrive proces. Na taj način uspijevaju da “pozajme” legitimitet povezan sa OneDrive.exe i prikriju svoje aktivnosti. Kada se zlonamjerni kôd izvršava unutar naizgled benignog procesa, postaje znatno teži za otkrivanje bezbjednosnim sistemima i softverima za detekciju i odgovor na prijetnje (EDR).

Ovakav pristup zlonamjernim akterima pruža atraktivnu mogućnost da izbjegnu detekciju i neprimjetno sprovedu svoje zlonamjerne operacije, oslanjajući se na reputaciju aplikacije koja se inače smatra pouzdanom.

 

Funkcionisanje

U ovom primjeru, OneDrive.exe služi kao ciljna aplikacija, dok version.dll predstavlja biblioteku bočnog učitavanja. Mnoge aplikacije, uključujući OneDrive.exe, oslanjaju se na version.dll kako bi preuzele informacije o verziji datoteke. Postavljanjem posebno pripremljene datoteke version.dll u direktorijum aplikacije, zlonamjerni akteri mogu preuzeti kontrolu nad procesom učitavanja.

Ključ uspješne eksploatacije leži u pozicioniranju prilagođene datoteke version.dll ispred legitimnih verzija. Na taj način OneDrive.exe učitava i izvršava zlonamjernu biblioteku umjesto originalne, što zlonamjernim akterima omogućava da zadrže kontrolu nad kritičnim sistemskim funkcijama bez izazivanja sumnje kod bezbjednosnog softvera ili administratora.

Dodatno, koristi se tehnika DLL posrednik, koja se kombinuje sa bočnim učitavanjem kako bi se očuvala stabilnost ciljanih aplikacija, a istovremeno omogućilo izvršavanje zlonamjernog kôda. Kreiranjem verzije datoteke version.dll koja izvozi iste funkcije kao legitimni pandan, zlonamjerni akteri obezbjeđuju besprijekornu integraciju i sprječavaju padove izazvane nedostajućim ili nekompatibilnim komponentama.

Upotreba direktiva “pragma comment(linker, “/export:…”)” u datoteci za demonstraciju exports.h efikasno prikazuje ovu tehniku. Direktive prosljeđuju sve očekivane izvoze iz posredničke version.dll ka originalnoj DLL datoteci u direktorijumu C:\Windows\System32, čime se garantuje da pozive koje izvrši OneDrive.exe i dalje obrađuje legitimna biblioteka. Efikasnost metode ogleda se u njenoj sposobnosti da se neprimjetno uklopi u postojeće sistemske funkcionalnosti, bez izazivanja sumnje kod korisnika ili administratora.

Za realizaciju ovakvog napada koristi se API povezivanje, koje igra ključnu ulogu. Primjenjuju se napredne tehnike poput vektorskog rukovanja izuzecima (eng. Vectored Exception Handling – VEH) i zaštite memorijskih stranica radi presretanja poziva aplikacija. Za razliku od tradicionalnih metoda, poput inline povezivanja koje bezbjednosni proizvodi lakše otkrivaju, vektorsko rukovanje izuzecima (VEH) pristup je prikriveniji.

Vektorsko rukovanje izuzecima (VEH) omogućava programerima da registruju funkciju koja se poziva svaki put kada se dogodi izuzetak unutar procesa. U ovom primjeru sigurnosni istraživači namjerno pokreću izuzetke kao dio mehanizma kontrole toka izvršavanja. Prikrivena priroda metode proizilazi iz činjenice da se kôd ne mijenja trajno, već se oslanja na privremene izuzetke koje registrovane funkcije presreću i obrađuju.

Ovakav pristup bi zlonamjernim akterima omogućio da zadrže kontrolu nad kritičnim funkcijama sistema, dok istovremeno smanjuju svoj digitalni otisak i otežavaju otkrivanje stručnjacima za bezbjednost zaduženim za identifikaciju prijetnji.

 

UTICAJ

Napad bočnim učitavanjem DLL datoteka predstavlja ozbiljnu prijetnju sajber bezbjednosti, jer omogućava da se u konkretnom slučaju OneDrive aplikacija koristi kao potencijalni vektor napada sa dalekosežnim posljedicama i za korisnike i za organizacije. Ova tehnika oslanja se na povjerenje u legitimne aplikacije, otvarajući prostor za moguće izvršavanje proizvoljnog kôda, a da bezbjednosni mehanizmi to ne otkriju.

Uticaj na pogođene sisteme mogao bi biti značajan: narušavanje integriteta podataka, neovlašteni pristup i rizik od padova sistema. Moguće iskorištavanje OneDrive.exe na ovaj način podsjeća na napredne metode kojima zlonamjerni akteri mogu zaobići odbranu i steći prednost nad bezbjednosnim alatima.

Napad bočnim učitavanjem DLL datoteka u prošlosti je korišten za kompromitovanje legitimnih Windows procesa, čime je zlonamjernim akterima omogućeno da obezbijede postojanost na inficiranim sistemima. Posljedice za korisnike mogle bi biti ozbiljne: gubitak podataka, finansijska šteta, narušena reputacija i potencijalna pravna odgovornost.

Organizacije koje bi postale žrtve suočile bi se sa zastojima u radu, gubitkom produktivnosti i prihoda, kao i visokim troškovima sanacije. Ti troškovi uključuju angažovanje zaposlenih, nadogradnju sistema i moguće sudske procese. Dugoročno, posljedice bi se ogledale u gubitku povjerenja kupaca, smanjenju tržišnog udjela i slabljenju konkurentnosti, pri čemu dodatnu težinu predstavlja činjenica da se napadi ovog tipa mogu povezati sa naprednim trajnim prijetnjama (eng. advanced persistent threat – APT), koje je posebno teško otkriti i neutralisati.

Uticaj mogućeg iskorištavanja ovakvih ranjivosti na širi pejzaž sajber bezbjednosti ne može se zanemariti. Bočno učitavanje DLL datoteka može poslužiti za kompromitovanje osjetljivih podataka, ometanje kritične infrastrukture i potkopavanje povjerenja u digitalne platforme. Zato je od ključne važnosti da organizacije daju prioritet sajber bezbjednosti, svjesne da i naizgled manje ranjivosti mogu imati dalekosežne posljedice.

 

ZAKLJUČAK

Koncept napada bočnim učitavanjem DLL datoteka koristeći OneDrive predstavlja stratešku i metodološki složenu prijetnju koja zahtijeva višeslojni pristup otkrivanju i sprječavanju. Kako zlonamjerni akteri neprestano prilagođavaju svoje taktike da bi ostali ispred tradicionalnih bezbjednosnih mjera, postaje jasno da nijedna organizacija nije imuna na ovakve prijetnje.

U hibridnim radnim okruženjima, gdje zaposleni sinhronizuju korporativne podatke putem OneDrive servisa na ličnim i korporativnim uređajima, koncept napada bočnim učitavanjem DLL datoteka posebno je zabrinjavajući. Takvo okruženje pogoduje bočnom kretanju i krađi osjetljivih dokumenata, što čini neophodnim da organizacije implementiraju snažne bezbjednosne mjere.

Napad bočnim učitavanjem DLL datoteka u svojoj opštoj formi pokazuje naprednost kroz sposobnost da održi kompatibilnost sa lokalnom aplikacijom putem tehnika kao što je DLL posredovanje. Na taj način zlonamjerni kôd neprimjetno radi u pozadini dok aplikacija nastavlja da funkcioniše normalno. Zlonamjerna biblioteka izvozi iste funkcije kao legitimna i prosljeđuje pozive pravoj sistemskoj biblioteci, čime se održava privid regularnog rada.

Koncept napada bočnim učitavanjem DLL datoteka koristeći OneDrive ima dalekosežne posljedice, jer može pogoditi ne samo pojedinačne korisnike već i cijele organizacije. Ovakav pristup otvara mogućnost krađe osjetljivih podataka i bočnog kretanja kroz mrežu, što dodatno povećava rizik. Timovi za bezbjednost, prilikom pregleda konfiguracija raspoređivanja i praćenja integriteta datoteka u kritičnim direktorijumima aplikacija, jasno uviđaju da se radi o tehnici koja zahtijeva višeslojni pristup otkrivanju i sprječavanju.

Zbog toga, u složenom pejzažu sajber prijetnji, koncept napada bočnim učitavanjem DLL datoteka pomoću OneDrive aplikacije predstavlja samo jedan od aspekata evoluirajućih prijetnji. Zlonamjerni akteri stalno prilagođavaju svoje metode kako bi bili ispred tradicionalnih bezbjednosnih mjera, što čini neophodnim da organizacije ostanu budne i dosljedne u svojoj odbrani od ovakvih prijetnji.

 

PREPORUKE

S obzirom na ozbiljnost i potencijalne posljedice napada bočnim učitavanjem DLL datoteka koristeći OneDrive, neophodno je da organizacije usvoje jasne i praktične mjere zaštite. Sljedeće preporuke imaju za cilj da pomognu u jačanju odbrane i smanjenju rizika od mogućeg iskorištavanja ove tehnike:

  1. Redovno skenirati direktorijume i poddirektorijume aplikacija za sve nepoznate ili sumnjive DLL datoteke, posebno one sa neobičnim imenima ili vremenskim oznakama. Ovo se može postići upotrebom alata za praćenje dizajniranih za otkrivanje anomalija u obrascima kreiranja i modifikacije datoteka.
  2. Koristiti alate za praćenje zasnovane na ponašanju koji prate i analiziraju sistemske procese kreirane iz pouzdanih aplikacija kao što je OneDrive. Ovi sistemi mogu identifikovati sumnjive aktivnosti, kao što je neočekivano učitavanje DLL datoteka, upoređujući očekivane i stvarne obrasce izvršavanja legitimnih programa.
  3. Sprovoditi temeljne preglede svih OneDrive raspoređivanja u organizaciji kako biste se osiguralo da se pridržavaju utvrđenih najboljih bezbjednosnih praksi. Ovo uključuje provjeru da li je praćenje integriteta datoteka omogućeno za kritične direktorijume aplikacija i provjeru da li je nedavno došlo do sumnjivih ili neovlaštenih izmjena.
  4. Aktivirati praćenje integriteta datoteka (eng. File Integrity Monitoring – FIM) na ključnim komponentama sistema, uključujući direktorijum u kojem se nalazi OneDrive.exe. Na taj način, organizacije mogu brzo da otkriju sve promjene DLL datotekama povezanih sa ovim legitimnim programom, čime se smanjuje rizik od eksploatacije od strane zlonamjernog aktera koji koriste tehnike bočnog učitavanja.
  5. Razvijati i redovno ažurirajte efikasnu strategiju plana odgovora na sajber prijetnje koja uključuje procedure za identifikaciju, obuzdavanje, iskorjenjivanje, oporavak (ako je potrebno) i saniranje bilo kakvih bezbjednosnih incidenata povezanih sa napadima bočnog učitavanja DLL datoteka na OneDrive.exe.
  6. Obavijestiti sve zaposlene koji koriste ili komuniciraju sa OneDrive aplikacijom o opasnostima koje predstavljaju eksploatacije bočnog učitavanja DLL datoteka usmjerene na ovu aplikaciju. Ova kampanja podizanja svijesti trebalo bi da naglasi važnost prijavljivanja sumnjivih aktivnosti i strogog pridržavanja utvrđenih bezbjednosnih protokola prilikom korištenja legitimnih programa poput OneDrive.
  7. Zakazivati periodična skeniranja ranjivosti za sisteme koji pokreću OneDrive, fokusirajući se na identifikovanje potencijalnih slabosti koje bi zlonamjerni akteri mogli da iskoriste koristeći taktike bočnog učitavanja DLL datoteka protiv ove aplikacije.
  8. Sprovoditi strogo pridržavanje principa “najmanjih privilegija” prilikom dodjeljivanja dozvola ili prava unutar IT infrastrukture organizacije. Ovo podrazumijeva osiguravanje da korisnici i aplikacije imaju samo neophodne privilegije potrebne za njihove specifične uloge, čime se smanjuju mogućnosti za zlonamjerne aktere koji koriste eksploatacije bočnog učitavanja DLL datoteka.
  9. Implementirati robustan sistem za korištenje samo dozvoljenih aplikacija (eng. trusted application whitelisting – TAWL) koji strogo kontroliše koji programi mogu da se izvršavaju na sistemima ili mrežama organizacije. Ovaj pristup pomaže u sprječavanju pokretanja zlonamjernog kôda tako što dozvoljava samo poznatim, legitimnim aplikacijama da rade u okruženju.
  10. Osigurati da su sve instance OneDrive aplikacije ažurirane najnovijim bezbjednosnim ispravkama koje je objavila kompanija Microsoft. Redovna ažuriranja mogu pomoći u rješavanju ranjivosti koje zlonamjerni akteri mogu da iskoriste koristeći tehnike bočnog učitavanja DLL datoteka protiv ove aplikacije.
  11. Podijeliti IT infrastrukturu organizacije na odvojene, izolovane segmente kako bi se ograničilo bočno kretanje u slučaju uspješnog napada koji iskorištava OneDrive.exe putem taktike bočnog učitavanja DLL datoteka. Ovaj pristup otežava zlonamjernim akterima širenje svog uticaja po sistemu nakon što dobiju pristup putem ove rute.
  12. Iskoristite najsavremenija bezbjednosna rješenja koja uključuju mogućnosti mašinskog učenja i analize ponašanja, omogućavajući im da identifikuju sumnjive obrasce koji ukazuju na potencijalne napade koji iskorištavaju OneDrive.exe putem eksploatacija bočnog učitavanja DLL datoteka.
  13. Razvijati efikasan plan zaštite podataka koji uključuje redovne rezervne kopije kritičnih sistemskih komponenti tamo gdje je OneDrive instaliran ili se koristi. Ovo osigurava kontinuitet poslovanja u slučaju da zlonamjerni akteri uspješno iskoriste ovu aplikaciju koristeći taktiku bočnog učitavanja DLL datoteka, čime se omogućava brz oporavak od bilo kakvih nastalih bezbjednosnih incidenata.
  14. Zakazivati periodične procjene rizika za sisteme koji pokreću OneDrive kako bi se identifikovali potencijalne ranjivosti koje bi mogli da iskoriste zlonamjerni akteri koji koriste tehnike bočnog učitavanja DLL datoteka protiv ovog legitimnog programa. Pored toga, redovno sprovodite testove penetracije koristeći simulirane napade dizajnirane posebno za testiranje efikasnosti postojeće odbrane od takvih eksploatacija.
  15. Koristite napredne sisteme za upravljanje bezbjednosnim informacijama i događajima (eng. security information and event management – SIEM) sposobno za prikupljanje podataka iz različitih izvora u IT infrastrukturi organizacije. Ovo omogućava praćenje potencijalnih prijetnji u realnom vremenu, uključujući one koje iskorištavaju OneDrive.exe putem taktika bočnog učitavanja DLL datoteka, čime se olakšava brz odgovor na incidente.
  16. Periodično procjenjivati postojeće bezbjednosne protokole kako bi se osiguralo da ostanu efikasni u sprječavanju napada koji iskorištavaju OneDrive.exe koristeći tehnike bočnog učitavanja DLL datoteka. Ovo podrazumijeva ažuriranje ili usavršavanje ovih smjernica po potrebi na osnovu novih prijetnji i najboljih praksi u industriji.

Implementacija sveobuhvatnog skupa mjera opisanih iznad može značajno poboljšati otpornost organizacije na eksploatacije bočnog učitavanja DLL datoteka usmjerenog na OneDrive, što na kraju smanjuje površinu napada izloženu zlonamjernim akterima koji žele da iskoriste ovu legitimnu aplikaciju za svoje zlonamjerne svrhe.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.