Aikido Wiper Malware
Aikido jako malware potrafi wykorzystać podatność systemu operacyjnego do przekształcenia produktów zabezpieczających (AV i EDR) w Wipera, który w konsekwencji swoich działań uszkadza system operacyjny i paraliżuje działanie komputerów.
CylancePROTECT i CylanceOPTICS nie mają z nim problemu. Produkty marki BlackBerry w pełni wykorzystują swój potencjał i chronią zabezpieczoną infrastrukturę IT.
Luki w zabezpieczeniach EDR i AV
Or Yair – badacz bezpieczeństwa SafeBreach Labs, odkrył kilka luk, które pozwoliły mu zamienić produkty klasy Endpoint Detection and Response (EDR) oraz programy antywirusowe (AV) w wipery.
Zidentyfikowane problemy, które zostały zaprezentowane na konferencji bezpieczeństwa Black Hat Europe, pozwoliły badaczowi oszukać podatne produkty zabezpieczające w celu usunięcia dowolnych plików i katalogów w systemie oraz uczynienie maszyny bezużyteczną.
Wiper badacza, nazwany Aikido – wykorzystuje rozszerzone uprawnienia, jakie posiadają produkty EDR i AV w systemie, opierając się na podstawionych katalogach zawierających specjalnie spreparowane ścieżki. Aikido jest w stanie spowodować usunięcie legalnych plików.
Ten wiper działa z uprawnieniami nieuprzywilejowanego użytkownika, ale ma możliwość wyczyszczenia prawie każdego pliku w systemie, w tym plików systemowych, co uniemożliwienia ponowne uruchomienie komputera. Robi to wszystko bez implementacji kodu, dopisywanego do plików docelowych, czyniąc go całkowicie niewykrywalnym.
Wiper Aikido wykorzystuje okienko czasowe występujące pomiędzy wykryciem złośliwego pliku, a jego faktycznym usunięciem i nadużywa funkcji systemu Windows, które pozwala użytkownikom na tworzenie rozwiązań punktowych – które są jak łącza symboliczne (symlinks) – niezależnie od uprawnień ich konta.
Yair wyjaśnia, że nieuprzywilejowany użytkownik nie może usuwać plików systemowych (.sys), ponieważ nie ma wymaganych uprawnień, ale udało mu się oszukać produkt zabezpieczający, aby wykonał usunięcie, tworząc podstawiony katalog i umieszczając w nim spreparowaną ścieżkę taką, jak ta przeznaczone do usunięcia (takie jak C:\temp\Windows\System32\drivers dla C:\Windows\System32\drivers).
Badacz stworzył szkodliwy plik, umieścił go w przygotowanym katalogu, ale nie określił dla niego identyfikatora. Nie wiedząc, które programy mają uprawnienia do modyfikowania pliku, EDR/AV zażądał ponownego uruchomienia systemu w celu usunięcia zagrożenia. Następnie badacz usunął specjalnie spreparowany wcześniej katalog. Jak wyjaśnia specjalista, niektóre narzędzia bezpieczeństwa polegają na interfejsie API systemu Windows w celu odroczenia usunięcia do czasu ponownego uruchomienia, podczas gdy inne przechowują listę ścieżek wybranych do usunięcia i czekają na ponowne uruchomienie, aby je usunąć.
Wiper Aikido atakuje system Windows
Domyślny interfejs API systemu Windows do odroczenia usunięcia używa flagi, która wymaga uprawnień administratora, a po restarcie systemu „Windows zaczyna usuwać wszystkie ścieżki i ślepo podąża za dowiązaniami” — odkrył badacz.
Niektóre systemy EDR i AV również to robią. W rezultacie byłem w stanie stworzyć jeden kompletny proces, który pozwolił mi usunąć prawie każdy plik w systemie, który chciałem i to jako nieuprzywilejowany użytkownik.
Exploit omija również kontrolowany dostęp do folderów w systemie Windows – funkcję mającą na celu zapobieganie manipulowaniu plikami w folderach znajdujących się na liście folderów chronionych – ponieważ EDR/AV ma uprawnienia do usuwania tych plików. Spośród 11 produktów zabezpieczających, które zostały przetestowane, sześć było podatnych na ten exploit. Luki w zabezpieczeniach zostały zgłoszone dostawcom, których dotyczy problem i wydano trzy identyfikatory CVE: CVE-2022-37971 dla Microsoft Defender i Defender dla Endpoint, CVE-2022-45797 dla Trend Micro Apex One oraz CVE-2022-4173 dla Avast i AVG Antywirus dla Windowsa.
Dostępny na GitHub wiper zawiera exploity dla błędów wpływających na EDR SentinelOne oraz Microsoft Defender i Defender for Endpoint. Jednak w przypadku produktów firmy Microsoft możliwe jest tylko usuwanie dowolnych katalogów.
Wiper z PoC tworzy plik EICAR (zamiast prawdziwego złośliwego pliku), który jest usuwany przez rozwiązanie zabezpieczające, może usuwać pliki systemowe, takie jak sterowniki, a przy ponownym uruchomieniu systemu „kilka razy zapełnia dysk losowymi bajtami”, aby upewnić się, że dane zostaną nadpisane i wyczyszczone.
Uważamy, że dla wszystkich dostawców EDR i AV bardzo ważne jest proaktywne testowanie swoich produktów pod kątem tego typu luk. Jeśli to konieczne, opracowanie planu naprawczego, aby zapewnić ochronę. Gorąco zachęcamy również poszczególne organizacje, które obecnie korzystają z produktów EDR i AV, do skonsultowania się ze swoimi dostawcami w sprawie tych luk i natychmiastowego zainstalowania dostarczanych przez nich aktualizacji lub poprawek oprogramowania.
CylancePROTECT
CylancePROTECT i CylanceOPTICS nie mają problemu z malwere Aikido. Produkty marki BlackBerry w pełni wykorzystują swój potencjał i chronią zabezpieczoną infrastrukturę IT.
Zadbaj o cyberbezpieczeństwo swojej organizacji!
