Vlakna Windows, malo znane komponente operacijskega sistema Windows, predstavljajo večinoma nedokumentirano pot izvajanja kode, ki obstaja izključno v uporabniškem načinu – in jo zato večinoma spregledajo platforme za odkrivanje in odziv končne točke (EDR).. Kot take jih lahko napadalci izkoristijo, da prikrito pristanejo na osebnih računalnikih in uvedejo zlonamerno koristno obremenitev.

To pravi Daniel Jary, neodvisni varnostni raziskovalec, ki je predstavil dva nova napada na dokaz koncepta (PoC) z uporabo vlaken v srečanje v Black Hat Asia v četrtek.

Vlakna so alternativa standardnim "nitim", ki jih Windows uporablja za izvajanje kode iz operacijskega sistema ali aplikacije, pojasnjuje.

»Niti so v bistvu kot delavci znotraj procesa Windows ali aplikacije in tradicionalno so bile vedno način za izvajanje kode in dokončanje stvari,« pove za Dark Reading. "Toda obstaja bolj nišni način za to, z vlakni."

Vlakna: pozabljena in spregledana pot OS Windows

Vlakna, kadar se uporabljajo, obstajajo znotraj niti – so v bistvu manjše, lahke različice koncepta večje niti. Sprva so bila razvita vlakna v času, ko so imeli procesorji na voljo manj jeder in so lahko sprejeli le toliko niti. Na visoki ravni so bili manjši način za razširitev zmogljivosti, saj so razvijalcem omogočili razdelitev delovnih obremenitev znotraj ene niti in naredili procese učinkovitejše.

»Ko pa so računalniki postali zmogljivejši, z več pomnilnika za igranje, so vlakna v veliki večini scenarijev postala nekoliko odveč,« pojasnjuje Jary. »In zato veliko ljudi res še ni slišalo zanje in so nekoliko nejasni, vendar služijo nekaterim namenom za nekatere stare podedovane aplikacije in način za prenos programov iz drugih operacijskih sistemov v Windows. In nekateri procesi Windows dejansko še vedno uporabljajo vlakna.«

Tako vlakna uživajo dvomljivo čast, da so hkrati osrednja funkcija sistema Windows, varnostne ekipe pa jih spregledajo. In za začetek Jary ugotavlja, da jih tradicionalni mehanizmi za zaznavanje v platformah EDR in protivirusnih motorjih ponavadi ignorirajo – zaradi česar so popolna prikrita pot za izvajanje zlonamerne kode.

»Agenti EDR močno nadzorujejo niti, ki pregledujejo sistemske klice in povratne klice v načinu jedra, da zajamejo telemetrijo in jo pošljejo mehanizmu pravil za ustvarjanje zaznave,« pojasnjuje Jary. »Toda vlakna obstajajo zgolj v uporabniškem načinu in se ne prikažejo v zbirki jedra; zato njihove telemetrije dejansko ne beležijo EDR.«

Nekatere odprtokodne tehnike že obstajajo za izkoriščanje statusa vlaken pod radarjem. PoC iz leta 2022 na primer podrobno opisuje metodo za skriva zlonamerno lupinsko kodo znotraj vlakna, s čimer se izogne ​​večini motorjev AV.  

Drugi so ustvarili metode za maskiranje klicnega sklada, ki napadalcem omogoča, da skrijejo zlonamerno pot izvajanja znotraj niti – v tem primeru vlakna – za drugim, mirujočim vlaknom, ki je benigno – prav tako se izogne ​​odkrivanju. Tehnika izkorišča dejstvo, da če so vlakna v uporabi, je vedno aktivno vlakno, nato pa mirujoče vlakno, s katerim se izklopi. Ta zmožnost maskiranja, ki je bila leta 2022 dodana v Artefact Kit podjetja Cobalt Strike.

Nove meje pri zlonamernem izvajanju vlaken

Jary je začel raziskovati, ali je mogoče izboljšati obstoječe tehnike zlonamernih vlaken, in predstavil dva nova PoC-ja, imenovana Phantom Thread in Poison Fiber.

Obstoječe kontradiktorne metode vlaken imajo določene pomanjkljivosti za napadalce: nekatere indikatorje je še vedno mogoče uporabiti za zaznavanje EDR; in zlonamernost ni skrita pred vgrajenim zbiranjem skladov klicev, ki temelji na dogodkih. In vsaka zbirka mirujočih vlaken, za katero obstaja več tehnik, bi odstranila maskiranje niza klicev.

Fantomska nit je pristop maskiranja skladov klicev naslednje generacije, ki odstrani zmožnost skeniranja pomnilnika za ciljanje vlaken, tako da se ta vlakna maskirajo kot niti. To vključuje ustvarjanje vlakna, nato pa ga popravimo tako, da se samo identificira kot nit. Nato postane mogoče odstraniti vse indikatorje sklada klicev vlaken in v bistvu popolnoma skriti vlakna pred morebitnim skeniranjem.

Drugi PoC, Poison Fiber, našteva vse izvajajoče se procese Windows, pregleduje niti, ki so v uporabi, in nato, ali katera od teh niti uporablja vlakna. Nato vam »predstavi priložnost, da vbrizgate svoj tovor ali kodo lupine v mirujoče vlakno,« pojasnjuje Jary.

»V vsakem trenutku lahko zaženete samo eno vlakno na nit, kar pomeni, da imate vedno drugo mirujoče vlakno parkirano nekje drugje v skladu,« pravi. »Ko izvajamo našo kodo z uporabo Poison Fiber, to vbrizga našo kodo v mirujoče vlakno, tako da nam ni treba začasno ustaviti niti, da bi vbrizgali lupinsko kodo, kar je velik pokazatelj zlonamerne dejavnosti. In ker smo koristni tovor vbrizgali v mirujoče vlakno, potem aplikacija sproži izvedbo namesto nas, mi pa je ne sprožimo sami.« Tehnika ima dodatno prednost, saj omogoča tudi oddaljeno izvajanje kode (RCE).

Prebudite se v nasprotnem potencialu vlaken

Čeprav ostajajo nekoliko nejasna, bi morala biti vlakna na seznamu vektorjev napadov varnostnih ekip, opozarja Jary, ki še ni javno objavil svojih razvitih PoC ali podrobnih podrobnosti o metodah. Utemeljuje, da je le vprašanje časa, kdaj bodo drugi našli načine za premagovanje pomanjkljivosti v obstoječih metodah izvajanja odprtokodnih vlaken.  

»Nadomestna metoda izvajanja Fiber je dragocena za napadalce, ker nam pomaga, da se izognemo tradicionalnim virom telemetrije, ki jih dobimo z nitmi, zlasti povratnim klicem jedra,« pravi. »Vlakna niso taktika stopnjevanja privilegijev; in niso obvod nadzora uporabniškega dostopa (UAC). Vendar pa omogoča dostavo tovora, ki je deležna veliko manj pozornosti varnostne skupnosti. Vlakna so res preprosta za uporabo, vendar jih je težje zaznati. Zato so kot nalašč za vsakega script kiddieja, ki ga lahko uporabi za napad na podjetja.«

Jary svetuje izvedbo zreli izdelki EDR ki jih je mogoče nenehno testirati glede na nastajajoče tehnike, kot so te.

»Pogovorite se s svojimi rdečimi ekipami o metodah odprtokodnih vlaken, ki se uporabljajo v naravi,« pravi. »Naredite nekaj raziskav, da vidite, s čim se napadalci veselijo, kaj je priljubljeno v divjini, nato pa to vrnite svoji raziskovalni skupini in razvijalcem izdelkov EDR. To bo pomagalo zgraditi boljšo obrambo in verjetno nekoliko olajšalo življenje vašim lovcem na grožnje.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/application-security/sneaky-shellcode-windows-fibers-edr-proof-code-execution