כלי ליצירת רקעים בWindows 10 משמש להחדרת נוזקות

תוקף שמשיג הרשאות של אדמיניסטרטור יכול להשתמש במנגנון הזה על מנת להוריד למחשב המקומי קבצים זדוניים מבלי שייבדקו במנגנוני ההגנה המקומיים

bigstock

חוקרי חברת האבטחה SentinelOne זיהו חולשה במערכת ההפעלה Windows 10 שיכולה לסייע לתוקפים להחדיר נוזקה למחשב, בסוג מתקפה שמכונה “Living Off the Land”- מתקפות שמנצלות מנגנוני תוכנה לגיטימיים להחדרת קוד זר למחשב המקומי תוך עקיפת מערכות הגנה.

החוקר גל קריסטל זיהה שהקובץ "desktopimgdownldr.exe"  יכול לשמש להחדרת רושעה. הקובץ הוא חלק ממנגנון של Windows שמאפשר פרסונליזציה של תמונת הרקע של מסך הבית ומסך הנעילה - Personalization CSP, ומאפשר לטעון קבצי תמונה מקומיים מסוג JPG, JPEG, PNG וכן קובץ שמאוחסן במחשב מרוחק (מקבל כתובות HTTP/S URLs). 

תוקף שמשיג הרשאות של אדמיניסטרטור יכול להשתמש במנגנון הזה על מנת להוריד למחשב המקומי קבצים זדוניים מבלי שייבדקו במנגנוני ההגנה המקומיים. זאת ועוד- ניתן לבצע מניפולציה נוספת כך שהפעולה שבוצעה לא מותירה שום עקבות להורדת הקובץ, וכך "מטשטשת" את עקבות התוקף.

הפופולריות של מתקפות living Off the Land המכונות גם Fileless malware (רושעה שאינה מבוססת קבצים) עלתה בשנים האחרונות. מכיוון שמערכות אנטי-וירוס והגנה על המייל השתפרו מאוד בזיהוי קבצים נגועים, התוקפים שינו טקטיקה ופועלים להחדיר קוד זדוני על ידי שימוש במנגנונים לגיטימיים של עדכון תוכנה של מערכות הפעלה, כלי ניהול תוכנה, תוכנות משרדיות נפוצות ודפדפנים. 

במהלך השנה החולפת נתגלו חולשות בתוכנות Outlook, Excel, word, Access, של מייקרוסופט, וכן בדפדפנים Chrome, Firefox, Explorer ובתוכנות Adobe Reader ו-Winamp, כולן תוכנות משרדיות נפוצות ביותר שעלולות לשמש להחדרת קוד זדוני. 

אותו קוד מיובא למחשב המקומי תוך עקיפת מנגנוני הסינון והבדיקה של מערכות אנטי-וירוס (אלו קבצים שמערכות ההגנה לא סורקות משום שהם נחשבים לגיטימיים לחלוטין). לאחר ההתקנה הם עלולים לבצע פעולות שונות כגון ייבוא של חלקי קוד זדוני אחרים, פעילות ריגול רשתית (Reconnaissance) ועוד.

CISA הסוכנות הפדראלית שאחראית על אבטחת תשתיות חיוניות בארה"ב דיווחה שבחודשים האחרונים חלה עליה של 90% בשימוש של מתקפות כאלו על תשתיות קריטיות, וזאת בנוסף לעלייה מדווחת של כ 265% בשימוש במתקפות כאלו בעולם בשנת 2019.