Волокна Windows, малоизвестные компоненты ОС Windows, представляют собой в значительной степени недокументированный путь выполнения кода, который существует исключительно в пользовательском режиме и поэтому в значительной степени игнорируется Платформы обнаружения и реагирования конечных точек (EDR). Таким образом, злоумышленники могут использовать их для незаметного проникновения на ПК и размещения вредоносных полезных данных.

Так утверждает Дэниел Джари, независимый исследователь безопасности, который описал две новые атаки для проверки концепции (PoC) с использованием оптоволоконных кабелей. сессия в Black Hat Asia в четверг.

Волокна — это альтернатива стандартным «потокам», которые Windows использует для выполнения кода из ОС или приложения, объясняет он.

«Потоки — это, по сути, рабочие процессы внутри процесса Windows или приложения, и традиционно они всегда были способом выполнения кода и достижения цели», — рассказывает он Dark Reading. «Но есть более нишевый способ сделать это — через оптоволокно».

Волокна: забытый и недооцененный путь к ОС Windows

Волокна, если они используются, существуют внутри потоков – по сути, они представляют собой меньшие по размеру и более легкие версии концепции большего потока. Волокна изначально были разработаны в то время, когда процессоры имели меньше ядер и могли обрабатывать только определенное количество потоков. На высоком уровне меньшие объемы были способом расширения емкости, позволяя разработчикам распределять рабочие нагрузки в рамках одного потока и повышать эффективность процессов.

«Но по мере того, как компьютеры становились более мощными и имели больше памяти, оптоволокно стало несколько избыточным в подавляющем большинстве сценариев», — объясняет Джари. «И именно поэтому многие люди на самом деле не слышали о них, и они немного неясны, но они действительно служат нескольким целям для некоторых старых устаревших приложений и позволяют портировать программы из других операционных систем в Windows. И некоторые процессы Windows все еще используют волокна».

Таким образом, волокна пользуются сомнительной честью быть одновременно основной функцией Windows и в то же время игнорироваться службами безопасности. И вдобавок Джари отмечает, что традиционные механизмы обнаружения в платформах EDR и антивирусных движках имеют тенденцию игнорировать их, что делает их идеальным скрытым способом выполнения вредоносного кода.

«Потоки тщательно контролируются агентами EDR, которые просматривают системные вызовы и обратные вызовы режима ядра для сбора телеметрии и отправки ее в механизм правил для генерации обнаружения», — объясняет Джари. «Но волокна существуют исключительно в пользовательском режиме и не отображаются в коллекции ядра; поэтому их телеметрия на самом деле не записывается EDR».

Уже существуют некоторые методы с открытым исходным кодом, позволяющие воспользоваться преимуществами скрытого статуса волокон. Например, в PoC от 2022 года подробно описан метод сокрытие вредоносного шелл-кода внутри волокна, таким образом уклоняясь от большинства AV-движков.  

Другие создали методы для маскирование стека вызовов, что позволяет злоумышленникам скрыть вредоносный путь выполнения внутри потока (в данном случае волокна) за другим, бездействующим волокном, которое является безопасным, что также позволяет избежать обнаружения. В этом методе используется тот факт, что если волокна используются, всегда есть активное волокно, а затем спящее волокно, вместе с которым оно отключается. Эта возможность маскировки была добавлена ​​в набор артефактов Cobalt Strike в 2022 году.

Новые рубежи в реализации вредоносных волокон

Джари решил выяснить, можно ли улучшить существующие методы вредоносного волокна, и разработал два новых PoC, получивших названия Phantom Thread и Poison Fiber.

Существующие методы состязательного оптоволокна имеют определенные недостатки для злоумышленников: некоторые индикаторы все еще могут использоваться для обнаружения EDR; и вредоносность не скрыта от встроенного сбора стека вызовов на основе событий. И любой набор спящих волокон, для которого существует несколько методов, устранит маскировку стека вызовов.

Фантомный поток — это подход к маскированию стека вызовов нового поколения, который исключает возможность сканирования памяти для целевых волокон, маскируя эти волокна под потоки. Это включает в себя создание волокна, а затем его исправление, чтобы оно идентифицировалось как поток. Тогда становится возможным удалить все индикаторы стека вызовов волокон и, по сути, вообще скрыть волокна от любого сканирования.

Второй PoC, Poison Fiber, перечисляет все запущенные процессы Windows, просматривая используемые потоки, а затем использует ли какой-либо из этих потоков волокна. Затем «это дает вам возможность внедрить вашу полезную нагрузку или шелл-код в бездействующее волокно», — объясняет Джари.

«В каждый поток одновременно можно запускать только одно волокно, а это означает, что у вас всегда есть еще одно спящее волокно, припаркованное где-то еще в стеке», — говорит он. «Когда мы выполняем наш код с помощью Poison Fiber, наш код внедряется в бездействующее волокно, поэтому нам не нужно приостанавливать поток для внедрения шелл-кода, что является важным индикатором вредоносной активности. А поскольку мы ввели полезную нагрузку в спящее волокно, приложение инициирует выполнение за нас, и мы не инициируем выполнение сами». Дополнительным преимуществом этого метода является возможность удаленного выполнения кода (RCE).

Осознайте враждебный потенциал волокна

Хотя они остаются несколько неясными, оптоволоконные кабели должны быть в списке векторов атак групп безопасности, предупреждает Джари, который еще не опубликовал свои усовершенствованные PoC или подробные сведения о методах публично. Он считает, что это лишь вопрос времени, когда другие найдут способы преодоления недостатков существующих методов реализации оптоволокна с открытым исходным кодом.  

«Альтернативный метод выполнения Fiber ценен для злоумышленников, поскольку он помогает нам обойти традиционные источники телеметрии, которые мы получаем с потоками, в частности обратные вызовы ядра», — говорит он. «Fibers – это не тактика повышения привилегий; и они не являются обходом контроля доступа пользователей (UAC). Но он позволяет доставлять полезную нагрузку, которая привлекает гораздо меньше внимания со стороны сообщества безопасности. Волокна действительно просто реализовать, но их труднее обнаружить. Так что это делает их идеальными для любого сценариста, который может использовать их для атаки на бизнес».

Жари советует реализовать зрелые продукты EDR которые можно постоянно тестировать на примере новых технологий, подобных этим.

«Поговорите со своими красными командами о методах оптоволокна с открытым исходным кодом, которые используются в дикой природе», — говорит он. «Проведите небольшое исследование, чтобы узнать, что нравится злоумышленникам и что популярно в дикой природе, а затем передайте эту информацию своей исследовательской группе и разработчикам продуктов EDR. Это поможет улучшить защиту и, возможно, немного облегчит жизнь вашим охотникам за угрозами».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/sneaky-shellcode-windows-fibers-edr-proof-code-execution