Novi soj ransomwarea nazvan GodDamn privlači pozornost tehnikom koja bi trebala zabrinuti svakoga tko pretpostavlja da njihov antivirusni softver ima posljednju riječ o tome što se izvodi na njihovom računalu. Prema izvještaju Dark Readinga, napadači koji stoje iza GodDamn-a koriste zlonamjerni upravljački program na razini jezgre koji je potpisao sam Microsoft, pretvarajući pouzdani digitalni certifikat u oružje protiv sigurnosnih alata koji bi ga trebali zaustaviti. Ovo je školski primjer BYOVD napada, skraćeno od 'Bring Your Own Vulnerable Driver' (donesi vlastiti ranjivi upravljački program), i postaje jedan od najpouzdanijih trikova u priručniku ransomware operatera.
Što se dogodilo
GodDamn ransomware gađao je američke tvrtke implementacijom upravljačkog programa na razini jezgre koji nosi legitiman Microsoftov potpis. Budući da Windows vjeruje potpisanim upravljačkim programima da djeluju duboko unutar operativnog sustava, ovaj upravljački program mogao se provući pokraj obrana i ugasiti sigurnosni softver prije nego što se ransomware uopće izvrši. Nakon što je zaštita krajnjih točaka onemogućena, napadači mogu slobodno šifrirati datoteke i kretati se mrežom uglavnom neotkriveno. Činjenica da je Microsoft taj upravljački program uopće potpisao najupečatljiviji je detalj ovdje: to znači da zlonamjerni kod nije morao iskoristiti nedostatak u Windowsima, već prije iskoristiti povjerenje koje se polaže u sam proces potpisivanja.
Kako BYOVD zaobilazi vaš sigurnosni sloj
Upravljački programi jezgre rade na najvišoj razini privilegija na Windows računalu, zapravo ispod sloja na kojem radi većina antivirusnih alata i alata za detekciju krajnjih točaka. Upravo zato napadači žele jedan takav. Upravljački program s valjanim potpisom ne izaziva istu razinu provjere kao nepotpisana ili nepoznata izvršna datoteka, pa se može tiho učitati i zatim iskoristiti za onemogućavanje, zasljepljivanje ili gašenje drugih sigurnosnih procesa koji se izvode na sustavu.
Ovo je važno i izvan tradicionalnog antivirusa. VPN klijentski softver, alati za filtriranje DNS-a i druge aplikacije za privatnost ili sigurnost također se izvode kao procesi na istom operativnom sustavu, i mogu biti jednako ranjivi na gašenje od strane napadača na razini jezgre koji već ima tu razinu kontrole. VPN šifrira vaš promet i može spriječiti određene vrste mrežnog njuškanja, ali nikada nije dizajniran da spriječi zlonamjerni upravljački program da onemogući sigurnosni softver na razini OS-a. Kad napadač dobije pristup jezgri, djeluje ispod razine na kojoj ga većina potrošačkih i poslovnih sigurnosnih alata može vidjeti, što je upravo razlog zašto je slojevita obrana važna umjesto oslanjanja na bilo koji pojedinačni alat.
BYOVD nije nov, ali je postao omiljena tehnika upravo zato što tako dobro djeluje protiv suvremenih obrana. Ransomware operateri sve više ugrađuju ovu mogućnost izravno u svoj zlonamjerni softver umjesto da je tretiraju kao odvojeni alat koji se postavlja unaprijed, što ubrzava napade i otežava detekciju. Širi obrazac napadača koji se brzo pokreću kad pronađu nešto što djeluje vidljiv je diljem ransomware krajolika upravo sada. Grupe za iznudu također su pokazale spremnost da brzo udare na kritičnu infrastrukturu, kao što se vidjelo kad je SpaceBears ciljao francuskog telekom operatora ranije ove godine, a operacije krađe podataka velikih razmjera poput one koju su ShinyHuntersi preuzeli protiv NAIC-a pokazuju koliko je podataka na kocki kad početne obrane zakažu.
Zašto je ovo važno za sigurnost vašeg uređaja
Osnovna lekcija iz GodDamn-a nije o ransomwareu izolirano, već o krhkosti sigurnosnih modela temeljenih na povjerenju. Potpisani kod, verificirani certifikati i odobrenje dobavljača trebali bi signalizirati sigurnost, ali napadači neprestano pronalaze načine da zloupotrijebe upravo te signale. Brzina je također faktor. Baš kao što su se napadači brzo pokrenuli da kompromitiraju desetke tisuća poslužitelja nakon što je otkrivena kritična ranjivost zaobilaženja autentifikacije u cPanelu, ransomware ekipe brzo operacionaliziraju svaku tehniku, uključujući zlonamjerne potpisane upravljačke programe, koja im daje prednost nad braniteljima.
Za svakodnevne korisnike i IT administratore podjednako, ovo naglašava jednostavnu poantu: jedan sigurnosni sloj, bilo da je to antivirus, VPN ili vatrozid, sam po sebi nije dovoljan. Obrana u dubinu, što znači višestruke preklapajuće zaštite, ostaje najrealniji način smanjenja rizika kad napadači aktivno pronalaze načine da zaobiđu bilo koju pojedinačnu kontrolu.
Što ovo znači za vas
Ako upravljate Windows sustavima, bilo kod kuće ili u poslovnom okruženju, GodDamn ransomware kampanja podsjetnik je da provjera potpisa upravljačkih programa, detekcija krajnjih točaka i upravljanje zakrpama budu ažurni. Windows ima mehanizme za blokiranje poznatih loših upravljačkih programa, a održavanje tih obrana ažurnima ključno je jer se napadači oslanjaju na zastarjele popise blokiranja kako bi provukli ranjive upravljačke programe pokraj detekcije.
VPN ostaje vrijedan dio vašeg alata za privatnost i sigurnost, posebno za šifriranje prometa na nepouzdanim mrežama i ograničavanje izloženosti određenim oblicima nadzora, ali treba ga shvatiti kao jedan sloj među nekoliko njih, a ne kao potpunu obranu od sofisticiranog zlonamjernog softvera. Kombiniranje renomiranog VPN-a s ažuriranim antivirusnim softverom, pravovremenim zakrpama OS-a i opreznim rukovanjem preuzimanjima i privicima e-pošte daje vam mnogo jači ukupni položaj nego oslanjanje na bilo koji pojedinačni alat.
Provedivi zaključci
Održavajte Windows i sav sigurnosni softver potpuno ažuriranima jer Microsoft povremeno ažurira svoj popis blokiranja ranjivih upravljačkih programa kako bi zatvorio praznine poput ove. Omogućite značajke integriteta memorije i izolacije jezgre u postavkama Windows sigurnosti gdje su podržane jer one mogu otežati izvođenje BYOVD napada. Redovito sigurnosno kopirajte kritične podatke i pohranjujte kopije izvan mreže kako vas ransomware enkripcija ne bi držala kao taoce. Tretirajte svoj VPN kao dio šire sigurnosne strategije, a ne kao samostalni štit, uparujući ga sa zaštitom krajnjih točaka i sigurnim navikama pregledavanja. Konačno, budite informirani o novim BYOVD i ransomware tehnikama jer razumijevanje kako napadači zaobilaze obrane temeljene na povjerenju prvi je korak prema zatvaranju tih praznina prije nego što dođu do vas.




