Egy új, GodDamn nevű zsarolóvírus-törzs azzal a technikával kerül a címlapokra, amely aggodalomra adhat okot mindazoknak, akik úgy vélik, hogy a vírusirtó szoftverük mondja ki a végső szót arról, hogy mi futhat a gépükön. A Dark Reading beszámolója szerint a GodDamn mögött álló támadók egy rosszindulatú kernel-illesztőprogramot használnak, amelyet maga a Microsoft írt alá, így egy megbízható digitális tanúsítványt fegyverként fordítanak azok ellen a biztonsági eszközök ellen, amelyek épp a támadást hivatottak megállítani. Ez a BYOVD támadás („Bring Your Own Vulnerable Driver”, azaz hozd magaddal a sérülékeny illesztőprogramodat) tankönyvi példája, és egyre inkább a zsarolóvírus-üzemeltetők egyik legmegbízhatóbb trükkjévé válik.

Mi történt

A GodDamn zsarolóvírus amerikai vállalatokat támadott meg egy olyan kernel szintű illesztőprogram telepítésével, amely érvényes Microsoft aláírással rendelkezik. Mivel a Windows megbízik az aláírt illesztőprogramokban, hogy azok mélyen az operációs rendszerben működjenek, ez az illesztőprogram képes volt elsiklani a védelem mellett, és leállítani a biztonsági szoftvereket, mielőtt a zsarolóvírus tényleges része egyáltalán elindult volna. Amint a végpontvédelem hatástalanítva van, a támadók szabadon titkosíthatják a fájlokat, és nagyrészt észrevétlenül mozoghatnak a hálózaton. A legszembetűnőbb részlet itt az, hogy az illesztőprogramot eredetileg a Microsoft írta alá: ez azt jelenti, hogy a rosszindulatú kódnak nem annyira egy Windows-hibát kellett kihasználnia, mint inkább az aláírási folyamatba vetett bizalmat.

Hogyan kerüli meg a BYOVD a biztonsági rendszereket

A kernel-illesztőprogramok a Windows gépek legmagasabb jogosultsági szintjén működnek, gyakorlatilag azon réteg alatt, ahol a legtöbb vírusirtó és végpont-észlelő eszköz fut. Éppen ezért akarják a támadók megszerezni őket. Az érvényes aláírással rendelkező illesztőprogram nem vált ki olyan ellenőrzést, mint egy aláíratlan vagy ismeretlen futtatható fájl, így csendben betöltődhet, majd felhasználható más biztonsági folyamatok letiltására, elvakítására vagy leállítására a rendszeren.

Ez túlmutat a hagyományos vírusirtáson. A VPN-kliens szoftverek, a DNS-szűrő eszközök és más adatvédelmi vagy biztonsági alkalmazások is folyamatokként futnak ugyanazon az operációs rendszeren, és ugyanúgy sebezhetőek lehetnek egy kernel szintű támadó általi leállítással szemben, aki már ilyen szintű irányítással rendelkezik. A VPN titkosítja a forgalmat, és segíthet megelőzni bizonyos típusú hálózati lehallgatást, de soha nem arra tervezték, hogy megakadályozza, hogy egy rosszindulatú illesztőprogram operációs rendszer szinten leállítsa a biztonsági szoftvereket. Ha a támadó kernel szintű hozzáféréssel rendelkezik, azon a szint alatt működik, ahol a legtöbb fogyasztói és vállalati biztonsági eszköz látni tudja – pontosan ezért van szükség többrétegű védelemre ahelyett, hogy egyetlen eszközre hagyatkoznánk.

A BYOVD nem új keletű, de éppen azért vált kedvelt technikává, mert olyan jól működik a modern védelmekkel szemben. A zsarolóvírus-üzemeltetők egyre gyakrabban építik be ezt a képességet közvetlenül a kártevőikbe, ahelyett, hogy külön, előzetesen telepített eszközként kezelnék, ami felgyorsítja a támadásokat és megnehezíti az észlelést. A támadók azon szélesebb mintázata, hogy gyorsan cselekszenek, amint találnak valamit, ami működik, jelenleg az egész zsarolóvírus-piacon megfigyelhető. A zsarolócsoportok hajlandónak mutatkoztak gyorsan lecsapni a kritikus infrastruktúrára is, ahogy azt a SpaceBears támadása egy francia távközlési szolgáltató ellen is mutatta az év elején, a nagy léptékű adatlopási műveletek – mint amilyet a ShinyHunters állítása szerint az NAIC ellen hajtott végre – pedig rávilágítanak, mekkora adatmennyiség forog kockán, amint a kezdeti védelmek csődöt mondanak.

Miért fontos ez az Ön eszközeinek biztonsága szempontjából

A GodDamn történetének alapvető tanulsága nem elszigetelten a zsarolóvírusokról szól, hanem a bizalomalapú biztonsági modellek törékenységéről. Az aláírt kódok, az ellenőrzött tanúsítványok és a gyártói jóváhagyás mind a biztonság jelzésére szolgálnak, de a támadók folyamatosan megtalálják a módját, hogy épp ezeket a jeleket használják ki. A gyorsaság is szerepet játszik. Ahogyan a támadók gyorsan mozgósították erőiket, hogy több tízezer szervert kompromittáljanak egy kritikus cPanel hitelesítés-megkerülési sérülékenység nyilvánosságra kerülése után, a zsarolóvírus-bandák is gyorsan bevetnek bármilyen technikát – beleértve a rosszindulatú aláírt illesztőprogramokat is –, ami előnyt jelent számukra a védőkkel szemben.

Az átlagos felhasználók és az informatikai rendszergazdák számára egyaránt megerősítést nyer egy egyszerű pont: egyetlen biztonsági réteg – legyen az vírusirtó, VPN vagy tűzfal – önmagában nem elegendő. A mélységi védelem, vagyis a többszörös, egymást átfedő védelem továbbra is a legreálisabb módja a kockázat csökkentésének, amikor a támadók aktívan keresik a módját, hogy kikerüljenek bármilyen egyedi ellenőrzést.

Mit jelent ez Önnek

Ha Ön Windows rendszereket felügyel, akár otthon, akár üzleti környezetben, a GodDamn zsarolóvírus-kampány emlékeztet arra, hogy az illesztőprogram-aláírás kikényszerítését, a végpont-észlelést és a javításkezelést naprakészen kell tartani. A Windows rendelkezik mechanizmusokkal az ismert rosszindulatú illesztőprogramok blokkolására, és e védekezések frissítése elengedhetetlen, mivel a támadók arra építenek, hogy az elavult tiltólisták segítségével sérülékeny illesztőprogramokat csempésszenek be észrevétlenül.

A VPN továbbra is értékes része az adatvédelmi és biztonsági eszköztárnak, különösen a forgalom titkosításához nem megbízható hálózatokon, valamint a megfigyelés bizonyos formáinak való kitettség csökkentéséhez, de egy rétegként kell rá tekinteni a többi között, nem pedig a kifinomult kártevők elleni teljes körű védelemként. Egy megbízható VPN kombinálása frissített vírusirtóval, időben telepített operációs rendszer-frissítésekkel, valamint a letöltések és e-mail mellékletek óvatos kezelésével sokkal erősebb általános védelmi helyzetet eredményez, mint ha egyetlen eszközre hagyatkoznánk.

Gyakorlati teendők

Tartsa a Windows-t és az összes biztonsági szoftvert teljesen naprakészen, mivel a Microsoft rendszeresen frissíti a sérülékeny illesztőprogramok tiltólistáját, hogy bezárja az ehhez hasonló réseket. Engedélyezze a memória integritását és a magelszigetelési funkciókat a Windows biztonsági beállításaiban, ahol támogatott, mivel ezek megnehezíthetik a BYOVD támadások kivitelezését. Rendszeresen készítsen biztonsági mentést a kritikus adatokról, és tárolja a másolatokat offline, hogy a zsarolóvírus-titkosítás ne tarthassa fogva a fájljait. A VPN-t egy szélesebb körű biztonsági stratégia részeként kezelje, ne önálló pajzsként, és párosítsa végpontvédelemmel és biztonságos böngészési szokásokkal. Végül, tájékozódjon folyamatosan a felmerülő BYOVD és zsarolóvírus-technikákról, mivel annak megértése, hogy a támadók hogyan kerülik meg a bizalomalapú védelmeket, az első lépés az ilyen rések bezárásához, mielőtt elérnék Önt.