Uusi GodDamn-niminen kiristyshaittaohjelmakanta nousee otsikoihin tekniikalla, jonka pitäisi huolestuttaa kaikkia, jotka olettavat virustorjuntaohjelmistonsa määräävän viime kädessä siitä, mitä heidän koneellaan suoritetaan. Dark Readingin raportoinnin mukaan GodDamn-hyökkäyksen tekijät käyttävät haitallista ytimen ajuria, jonka Microsoft itse on allekirjoittanut, muuttaen luotetun digitaalisen varmenteen aseeksi juuri niitä tietoturvatyökaluja vastaan, joiden piti pysäyttää se. Tämä on oppikirjaesimerkki BYOVD-hyökkäyksestä (”Bring Your Own Vulnerable Driver”) eli oman haavoittuvan ajurin tuomisesta, ja siitä on tulossa yksi luotettavimmista tempuista kiristyshaittaohjelmien tekijöiden valikoimassa.
Mitä tapahtui
GodDamn-kiristyshaittaohjelma on iskenyt yhdysvaltalaisiin yrityksiin käyttämällä ydintason ajuria, jossa on laillinen Microsoftin allekirjoitus. Koska Windows luottaa allekirjoitettujen ajureiden toimivan käyttöjärjestelmän syvimmissä kerroksissa, tämä ajuri pystyi livahtamaan puolustusten ohi ja sammuttamaan tietoturvaohjelmistot ennen kuin kiristyshaittaohjelman varsinainen hyötykuorma edes suoritettiin. Kun päätelaitesuojaus on poistettu käytöstä, hyökkääjät voivat vapaasti salata tiedostoja ja liikkua verkossa pitkälti huomaamatta. Se, että Microsoft ylipäätään allekirjoitti ajurin, on tässä silmiinpistävin yksityiskohta: se tarkoittaa, ettei haitallisen koodin tarvinnut hyödyntää mitään Windowsin haavoittuvuutta vaan pikemminkin hyödyntää itse allekirjoitusprosessiin kohdistettua luottamusta.
Miten BYOVD ohittaa tietoturvapinosi
Ydintason ajurit toimivat Windows-koneen korkeimmalla käyttöoikeustasolla, käytännössä kerroksen alapuolella, jossa useimmat virustorjunta- ja päätelaitteiden havaitsemistyökalut pyörivät. Juuri siksi hyökkääjät haluavat sellaisen. Voimassa olevan allekirjoituksen omaava ajuri ei laukaise samanlaista tarkastelua kuin allekirjoittamaton tai tuntematon suoritettava tiedosto, joten se voi latautua hiljaa ja sen jälkeen sitä voidaan käyttää poistamaan käytöstä, sokeuttamaan tai tappamaan muita järjestelmässä käynnissä olevia tietoturvaprosesseja.
Tällä on merkitystä perinteistä virustorjuntaa laajemmin. VPN-asiakasohjelmistot, DNS-suodatustyökalut ja muut yksityisyys- tai tietoturvasovellukset toimivat prosesseina samassa käyttöjärjestelmässä, ja ne voivat olla yhtä alttiita sammuttamiselle sellaisen ydintason hyökkääjän toimesta, jolla on jo tuo hallintataso. VPN salaa liikenteesi ja voi auttaa estämään tietynlaista verkkourkintaa, mutta sitä ei koskaan suunniteltu pysäyttämään haitallista ajuria poistamasta tietoturvaohjelmistoja käytöstä käyttöjärjestelmätasolla. Kun hyökkääjä on saanut ytimen käyttöoikeuden, hän toimii kerroksen alapuolella, josta useimmat kuluttaja- ja yritystietoturvatyökalut eivät häntä näe, mikä on juuri se syy, miksi kerrostettu puolustus on tärkeää yksittäiseen työkaluun turvautumisen sijaan.
BYOVD ei ole uusi asia, mutta siitä on tullut suosittu tekniikka juuri siksi, että se toimii niin hyvin nykyaikaisia puolustuksia vastaan. Kiristyshaittaohjelmien tekijät rakentavat tätä ominaisuutta yhä useammin suoraan haittaohjelmaansa sen sijaan, että he käyttäisivät sitä erillisenä, etukäteen käyttöön otettavana työkaluna, mikä nopeuttaa hyökkäyksiä ja vaikeuttaa havaitsemista. Laajempi toimintamalli, jossa hyökkääjät liikkuvat nopeasti löydettyään jotain toimivaa, näkyy nyt kaikkialla kiristyshaittaohjelmien kentässä. Kiristysryhmät ovat osoittaneet halukkuutensa iskeä nopeasti myös kriittistä infrastruktuuria vastaan, kuten nähtiin aiemmin tänä vuonna, kun SpaceBears hyökkäsi ranskalaista teleoperaattoria vastaan, ja laajamittaiset tietovarkausoperaatiot, kuten se, jonka ShinyHunters väittää kohdistuneen NAIC:iin, osoittavat, kuinka paljon tietoa on vaakalaudalla, kun alkuperäiset puolustukset pettävät.
Miksi tällä on merkitystä laiteturvallisuudellesi
GodDamn-hyökkäyksen tärkein opetus ei koske pelkästään kiristyshaittaohjelmaa, vaan luottamukseen perustuvien tietoturvamallien haurautta. Allekirjoitetun koodin, varmennettujen varmenteiden ja toimittajan hyväksynnän on kaikkien tarkoitus viestiä turvallisuudesta, mutta hyökkääjät keksivät jatkuvasti tapoja käyttää juuri näitä signaaleja väärin. Myös nopeudella on merkitystä. Samalla tavoin kuin hyökkääjät liikkuivat nopeasti vaarantaakseen kymmeniä tuhansia palvelimia kriittisen cPanelin todennuksen ohitus -haavoittuvuuden julkistamisen jälkeen, kiristyshaittaohjelmien jengit ovat nopeita ottamaan käyttöön minkä tahansa tekniikan, mukaan lukien haitalliset allekirjoitetut ajurit, joka antaa heille etulyöntiaseman puolustajiin nähden.
Tavallisille käyttäjille ja IT-järjestelmänvalvojille tämä korostaa yksinkertaista seikkaa: yksi tietoturvakerros – oli se sitten virustorjunta, VPN tai palomuuri – ei yksinään riitä. Kerrostettu puolustus eli useat päällekkäiset suojaukset on edelleen realistisin tapa vähentää riskejä, kun hyökkääjät etsivät aktiivisesti keinoja kiertää minkä tahansa yksittäisen hallintakeinon.
Mitä tämä tarkoittaa sinulle
Jos hallinnoit Windows-järjestelmiä joko kotona tai yritysympäristössä, GodDamn-kiristyshaittaohjelmakampanja muistuttaa pitämään ajurin allekirjoitusten valvonnan, päätelaitteiden havaitsemisen ja korjaustenhallinnan ajan tasalla. Windowsissa on mekanismeja, joilla voidaan estää tunnetusti haitalliset ajurit, ja näiden puolustusten pitäminen päivitettyinä on olennaista, koska hyökkääjät luottavat vanhentuneisiin estolistoihin ujuttaakseen haavoittuvia ajureita havaitsemisen ohi.
VPN on edelleen arvokas osa yksityisyytesi ja tietoturvasi työkalupakkia, erityisesti liikenteen salaamiseen epäluotettavissa verkoissa ja tietyn valvonnan vaikutuksen rajoittamiseen, mutta se tulisi ymmärtää yhdeksi kerrokseksi monien joukossa eikä täydelliseksi suojaksi hienostuneita haittaohjelmia vastaan. Luotettavan VPN:n yhdistäminen ajan tasalla olevaan virustorjuntaan, ajoissa tehtäviin käyttöjärjestelmäpäivityksiin ja varovaiseen latausten ja sähköpostiliitteiden käsittelyyn antaa sinulle paljon vahvemman kokonaisasennon kuin mihin tahansa yksittäiseen työkaluun turvautuminen.
Käytännön opit
Pidä Windows ja kaikki tietoturvaohjelmistot täysin päivitettyinä, sillä Microsoft päivittää ajoittain haavoittuvien ajureiden estolistaansa sulkeakseen tämänkaltaisia aukkoja. Ota Windowsin suojausasetuksissa käyttöön muistin eheys- ja ytimen eristysominaisuudet niissä laitteissa, joissa niitä tuetaan, sillä ne voivat vaikeuttaa BYOVD-hyökkäyksiä. Varmuuskopioi kriittiset tiedot säännöllisesti ja säilytä kopiot offline-tilassa, jotta kiristyshaittaohjelman salaus ei voi pitää tiedostojasi panttivankina. Käsittele VPN:ää osana laajempaa tietoturvastrategiaa eikä itsenäisenä suojana, liittäen siihen päätelaitesuojauksen ja turvalliset selailutottumukset. Pysy ajan tasalla kehittyvistä BYOVD- ja kiristyshaittaohjelmatekniikoista, sillä ymmärrys siitä, miten hyökkääjät kiertävät luottamukseen perustuvia puolustuksia, on ensimmäinen askel niiden aukkojen sulkemiseksi ennen kuin ne saavuttavat sinut.




