Δύο τεχνικές εκτέλεσης κώδικα, το Poison Fiber και το Phantom Thread, αξιοποιούν μια λιγότερο γνωστή δυνατότητα του λειτουργικού συστήματος Windows, προκειμένου να αποκρύψουν shellcode και άλλα κακόβουλα λογισμιά σε συστήματα-στόχους.
Τα Windows fibers (ίνες), στοιχεία του λειτουργικού συστήματος Windows, αποτελούν μια από τις διαδρομές εκτέλεσης κώδικα που δεν έχει τεκμηριωθεί και που υπάρχει αποκλειστικά σε λειτουργία χρήστη – και επομένως παραβλέπεται σε μεγάλο βαθμό από τις πλατφόρμες Ανίχνευσης και Απόκρισης Τελικού Σημείου (EDR). Ως εκ τούτου, είναι εύκολο στους hackers να τα εκμεταλλευτούν για να εισέλθουν κρυφά σε υπολογιστές και να αναπτύξουν κακόβουλα ωφέλιμα φορτία.
Σύμφωνα με τον Daniel Jary, έναν ανεξάρτητο ειδικό σε θέματα ασφάλειας, αποκαλύφθηκαν δύο νέες επιθέσεις Proof of Concept – PoC με τη χρήση fibers. Ο Jary παρουσίασε τις επιθέσεις αυτές κατά τη διάρκεια μιας συνεδρίας στο συνέδριο Black Hat Asia, την Πέμπτη.
Δείτε ακόμη: Πώς να διαγράψετε το Google Chrome σε Windows και Mac
Οι ίνες αποτελούν μια εναλλακτική προσέγγιση στα παραδοσιακά «νήματα» (threads) που χρησιμοποιούνται από τα Windows για να τρέξουν κώδικα μέσα από το λειτουργικό σύστημα ή μια εφαρμογή, όπως επισημαίνεται.
Τα Windows fibers, που ενσωματώνονται στα threads, αποτελούν ουσιαστικά μικρότερες και πιο ελαφριές εκδοχές των παραδοσιακών threads. Δημιουργήθηκαν κατά τη διάρκεια μιας περιόδου όπου οι κεντρικές μονάδες επεξεργασίας (CPU) διέθεταν περιορισμένο αριθμό πυρήνων και είχαν την ικανότητα να υποστηρίζουν μόνο έναν περιορισμένο αριθμό threads. Σε γενικές γραμμές, η χρήση των Windows fibers αποτελούσε έναν μηχανισμό για την επέκταση των δυνατοτήτων ενός συστήματος, διευκολύνοντας τους προγραμματιστές να διαμοιράζουν τις εργασίες σε ενιαία threads και να καθιστούν τις διεργασίες πιο αποδοτικές.
«Με την εξέλιξη των υπολογιστών που έγιναν πιο ισχυροί και διαθέτουν επαρκή μνήμη για παιχνίδια, οι ίνες έχουν καταστεί σχεδόν περιττές στην πλειονότητα των χρήσεων», αναφέρει ο Jary. «Αυτός είναι ο λόγος που πολλοί δεν έχουν ακούσει για αυτές και φαίνονται κάπως ξεπερασμένες, αλλά παραμένουν χρήσιμες για ορισμένες συγκεκριμένες παλαιότυπες εφαρμογές και για την μεταφορά προγραμμάτων από άλλα λειτουργικά συστήματα στα Windows. Επιπλέον, κάποιες διεργασίες εξακολουθούν να εξαρτώνται από τη χρήση των Windows fibers».
Έτσι, οι ίνες καταλαμβάνουν την αμφιλεγόμενη θέση ως ένα ταυτόχρονα κρίσιμο και παραμελημένο στοιχείο των Windows από τις ομάδες ασφαλείας. Για να ξεκινήσουμε, ο Jary επισημαίνει ότι οι παραδοσιακοί μηχανισμοί ανίχνευσης που χρησιμοποιούνται από πλατφόρμες EDR και αντιικά προγράμματα συχνά παραβλέπουν τις ίνες, κάτι που τις καθιστά ιδανικές για την απόκρυψη και εκτέλεση κακόβουλου κώδικα.
«Οι πράκτορες EDR παρακολουθούν στενά τα νήματα, αναλύοντας syscalls και κλήσεις λειτουργίας του πυρήνα για να πραγματοποιούν τηλεμετρία που στη συνέχεια αποστέλλεται σε μια μηχανή κανόνων για την εξαγωγή ανιχνεύσεων», αναφέρει ο Jary. «Ωστόσο, οι ίνες λειτουργούν αποκλειστικά στο επίπεδο της εφαρμογής του χρήστη και δεν φαίνονται από τις διεργασίες συλλογής δεδομένων του πυρήνα, κάτι που σημαίνει ότι η τηλεμετρία τους δεν καταγράφεται πραγματικά από τα συστήματα EDR.»
Υπάρχουν ήδη αρκετές τεχνικές ανοιχτού λογισμικού που εκμεταλλεύονται την κατάσταση των ινών για να παραμείνουν αδιάκριτες. Για παράδειγμα, ένα PoC του 2022 παρέχει μια λεπτομερή περιγραφή μιας τεχνικής για την ενσωμάτωση κακόβουλου shell κώδικα εντός μιας ίνας, παρακάμπτοντας έτσι επιτυχώς την πλειοψηφία των κινητήρων αντιικού λογισμικού.
Κάποιοι έχουν αναπτύξει τεχνικές για την απόκρυψη της στοίβας κλήσεων, με τις οποίες επιτρέπεται σε hackers να κρύβουν την κακόβουλη ενέργειά τους εντός ενός thread—συγκεκριμένα, εντός ενός fiber— πίσω από ένα άλλο fiber, το οποίο είναι αδρανές και ακίνδυνο, αποφεύγοντας έτσι την ανίχνευση. Η μέθοδος αυτή εκμεταλλεύεται την ιδιότητα των ινών, όπου κάθε στιγμή μία ίνα είναι ενεργή και μια άλλη αδρανής, στην οποία μεταβαίνει η ενεργοποίηση. Αυτό το προηγμένο σύστημα ενσωματώθηκε στην εργαλειοθήκη Artefact της Cobalt Strike το 2022.
Διαβάστε επίσης: Πώς να παίξετε Windows παιχνίδια στο Mac σας με το Whisky
Ο Jary ξεκίνησε μια εξερεύνηση για να διαπιστώσει αν μπορούν να βελτιωθούν οι ήδη υφιστάμενες τεχνικές κακόβουλων fibers, καταλήγοντας στην ανάπτυξη δύο νέων PoC, τα οποία ονομάστηκαν Phantom Thread και Poison Fiber.
Οι υπάρχουσες μέθοδοι fiber παρουσιάζουν ορισμένα μειονεκτήματα για τους hackers. Συγκεκριμένα, κάποιοι δείκτες θα μπορούσαν να αξιοποιηθούν για την ανίχνευση των EDR, ενώ η κακόβουλη δραστηριότητα δεν καταφέρνει να παραμείνει αδιάκριτη μέσα από τις κλήσεις που βασίζονται σε ενσωματωμένα συμβάντα. Παράλληλα, όποια εφαρμογή τεχνικών για τη συλλογή αδρανών fibers, για τις οποίες υπάρχει πληθώρα μεθοδολογιών, θα εξαλείψει την κάλυψη που προσφέρει η στοίβα κλήσεων.
Το Phantom Thread αντιπροσωπεύει μια επαναστατική προσέγγιση στη διαχείριση της στοίβας κλήσεων, που επιτρέπει το καμουφλάζ των fibers ως threads, αφαιρώντας τη δυνατότητα από τις σαρώσεις μνήμης να τα εντοπίζουν. Μέσα από τη δημιουργία ενός fiber και την επακόλουθη επεξεργασία του, ώστε να παρουσιάζεται ως thread, εξαλείφονται οι ενδείξεις της στοίβας κλήσεων που σχετίζονται με τις οπτικές ίνες, κρύβοντας έτσι τα fibers από οποιαδήποτε σάρωση μνήμης.
Το δεύτερο PoC, Poison Fiber, καταγράφει τις διεργασίες των Windows που βρίσκονται σε εκτέλεση, αναλύοντας τα threads που χρησιμοποιούνται. Έπειτα, ελέγχει αν κάποια από αυτά τα threads ενσωματώνουν fibers. Σε αυτό το σημείο, παρέχεται η δυνατότητα να ενσωματώσετε το δικό σας ωφέλιμο φορτίο ή τον shell κώδικα σε ένα αδρανές fiber, όπως επισημαίνει ο Jary.
“Σε κάθε fiber μπορεί να τρέχει μόνο ένα thread ταυτόχρονα, συνεπώς υπάρχει πάντα άλλο ένα thread σε αδράνεια, το οποίο βρίσκεται κάπου στη στοίβα”, εξηγεί. “Χρησιμοποιώντας το Poison Fiber, μπορούμε να ενσωματώσουμε τον κώδικά μας σε μία από αυτές τις αδρανείς ίνες, αποφεύγοντας έτσι την ανάγκη αναστολής του νήματος για την εισαγωγή κώδικα shell, ο οποίος αποτελεί ξεκάθαρη ένδειξη κακόβουλης ενέργειας. Επειδή το φορτίο ενσωματώνεται σε μια αδρανή ίνα, η εφαρμογή ξεκινά την εκτέλεση για εμάς, αναλαμβάνοντας την πρωτοβουλία της διαδικασίας.” Αυτή η τεχνική προσφέρει επίσης το πρόσθετο πλεονέκτημα της δυνατότητας για απομακρυσμένη εκτέλεση κώδικα (RCE).
Αν και παραμένουν κάπως ασαφείς, τα fibers θα πρέπει να βρίσκονται στη λίστα των φορέων επίθεσης των ομάδων ασφαλείας, προειδοποιεί ο Jary, ο οποίος δεν έχει ακόμα κοινοποιήσει δημοσίως τα προηγμένα του PoC ή τις λεπτομέρειες των μεθόδων του, και υποστηρίζει ότι είναι μόνο θέμα χρόνου μέχρι άλλοι να ανακαλύψουν τρόπους για να ξεπεράσουν τα εμπόδια στις υφιστάμενες μεθόδους εκτέλεσης ινών ανοιχτού κώδικα.
“Η εναλλακτική τεχνική χρήσης των fibers αποτελεί ένα πολύτιμο εργαλείο για τους hackers, καθώς μας επιτρέπει να παρακάμψουμε τις παραδοσιακές μεθόδους τηλεμετρίας που συνήθως λαμβάνουμε μέσω των threads”, εξηγεί. “Η χρήση ινών δεν αποτελεί μέθοδο για την κλιμάκωση προνομίων ούτε μια τεχνική για την παράκαμψη των ελέγχων πρόσβασης των χρηστών (UAC). Ωστόσο, διευκολύνει την αποστολή επωφελούς κώδικα με τρόπο που προκαλεί σημαντικά λιγότερη προσοχή και ανάλυση από την κοινότητα της ασφάλειας. Οι ίνες είναι σχετικά απλές στην εφαρμογή τους αλλά δυσκολότερες στον εντοπισμό τους, καθιστώντας τες ιδανικές για χρήση σε επιθέσεις κατά επιχειρήσεων.”
Δείτε επίσης: Windows 10 KB5036892: Βελτιώσεις και νέες δυνατότητες
Ο Jary προτείνει τη χρήση ώριμων λύσεων EDR που είναι σε θέση να υποβάλλονται σε συνεχείς δοκιμές απέναντι σε αναπτυσσόμενες τεχνικές απειλές, όπως αυτές που εμφανίζονται.
“Συζητήστε με τους συνεργάτες σας τις μεθόδους ανοιχτού κώδικα που χρησιμοποιούνται” προτρέπει. “Κάντε ενδελεχή έρευνα για να κατανοήσετε τις προτιμήσεις των hackers, τι είναι διαδεδομένο στο φυσικό περιβάλλον και στη συνέχεια, μοιραστείτε αυτές τις πληροφορίες με την ερευνητική σας ομάδα και τους προγραμματιστές των προϊόντων EDR. Αυτή η διαδικασία θα συμβάλει στην ανάπτυξη αποτελεσματικότερων αμυντικών μηχανισμών και θα μπορούσε επίσης να διευκολύνει το έργο της ομάδας αντιμετώπισης των απειλών.”
Πηγή: darkreading.com
