Los controles de seguridad basados en la reputación pueden ser menos efectivos de lo que muchos piensan para proteger a las organizaciones de aplicaciones y contenidos web peligrosos.
Un nuevo estudio realizado por investigadores de Elastic Security encontró que los atacantes han desarrollado varias técnicas efectivas en los últimos años para eludir los mecanismos que bloquean o permiten aplicaciones y contenidos en función de su reputación y confiabilidad.
Varias técnicas disponibles
Las técnicas incluyen el uso de herramientas de malware firmadas digitalmente para que parezcan legítimas, así como el secuestro de reputación, la falsificación de reputación y archivos LNK especialmente diseñados. “Los sistemas de protección basados en la reputación son una capa poderosa para bloquear el malware común”, escribió Joe Desimone, investigador de Elastic Security. en un informe esta semana“Sin embargo, como cualquier técnica de protección, tienen debilidades que pueden sortearse con un poco de precaución. »
Para el estudio, los investigadores utilizaron las tecnologías Microsoft Windows Smart App Control (SAC) y SmartScreen como ejemplos de un mecanismo basado en la reputación para el cual los atacantes han desarrollado soluciones alternativas.
SmartScreen es una característica que Microsoft introdujo con Windows 8 para proteger a los usuarios de aplicaciones web maliciosas y descargas de archivos. Comprueba si los archivos que tienen la marca web (MoTW) en ellos, o en archivos que Windows etiqueta como descargados de Internet, son confiables. Control inteligente de aplicaciones convertirse disponible con Windows 11. Utiliza el servicio de inteligencia de amenazas de Microsoft para determinar si una aplicación es lo suficientemente confiable para ejecutarse o no. Si la inteligencia contra amenazas no puede determinar la confiabilidad de una aplicación, SAC verifica si la aplicación está firmada digitalmente antes de permitir su ejecución.
Los investigadores de Elastic Security han descubierto que los atacantes tienen varias formas de eludir estas protecciones.
LNK pisotea el MoTW
Según Elastic Security, los piratas informáticos suelen utilizar una forma de eludir el control inteligente de aplicaciones firmando su malware con un certificado SSL de validación extendida (EV). Aunque las autoridades certificadoras exigen una prueba de identidad antes de emitir un certificado EV a una entidad solicitante, los delincuentes han encontrado formas de cumplir con este requisito haciéndose pasar por empresas legítimas. En otros casos, utilizaron firmas de código no válidas y especialmente diseñadas para archivos JavaScript y MSI para eludir las comprobaciones de MoTW. Durante al menos los últimos seis años, los atacantes también han explotado una debilidad en la forma en que Windows maneja los archivos de acceso directo (LNK) para esencialmente eliminar el MoTW de los archivos LNK maliciosos y pasarlos por SmartScreen, dijo Elastic Security, quien denominó la táctica “LNK Stomping”. .”
Otra táctica es el secuestro de reputación, en el que un atacante explota la buena reputación de aplicaciones, sitios web y otras entidades confiables. Elastic Security ha descubierto que los atacantes suelen apuntar a hosts de scripts confiables (o programas que ejecutan scripts) como Lua, Node.js y AutoHotkey para este tipo de ataque. La solución implica colocar el contenido malicioso donde el host de script confiable lo encontrará y lo ejecutará automáticamente durante su curso normal. “Los servidores de scripts son un objetivo ideal para un ataque de secuestro de reputación. Esto es especialmente cierto si incluyen una capacidad de interfaz de función externa (FFI)”, escribió Desimone. “Con FFI, los atacantes pueden cargar y ejecutar fácilmente código arbitrario y malware en la memoria. »
Elastic Security también descubrió que los atacantes estaban utilizando una técnica llamada “siembra” para eludir los mecanismos de filtrado basados en la reputación. Para estos ataques, los actores maliciosos primero introducen sus propios archivos binarios o ejecutables aparentemente inofensivos en un sistema objetivo y esperan a que con el tiempo construyan una reputación positiva. Otra variación es introducir una aplicación legítima con una vulnerabilidad conocida en un entorno de destino para su uso posterior. “Smart App Control parece vulnerable a la siembra”, dijo Desimone en su informe. “Después de procesar una muestra en una máquina, recibió una buena etiqueta después de aproximadamente 2 horas. »
El proveedor de seguridad recomienda que las organizaciones fortalezcan su seguridad mediante el uso de herramientas de análisis de comportamiento para monitorear tácticas de ataque comunes, como acceso a credenciales, enumeración, escape de memoria, persistencia y movimiento lateral.