Sophos odhalil, jak se chová útočný kód skrytý v paměti, a vytvořil proti němu ochranu

  • Tento objev výrazně znesnadní protivníkům používání paměti počítače jako techniky úniku před obranou
  • Výzkumníci společnosti Sophos navrhli praktickou ochranu Dynamic Shellcode Protection, která blokuje přidělení spouštěcích oprávnění z jedné haldy do jiné

Oblast paměti napadeného počítače je oblíbeným úkrytem pro malware, protože bezpečnostní skenování nemá tendenci pokrývat i paměť. Ve výsledku je méně pravděpodobné, že bude malware detekován a zablokován. Mezi typy škodlivého softwaru, které se útočníci pokoušejí nainstalovat do paměti, patří ransomware a agenti pro vzdálený přístup. Agenti pro vzdálený přístup jsou aktivátory dalšího útoku, takže čím dříve jsou odhaleni a blokováni, tím lépe.

Výzkumníci společnosti Sophos vypracovali způsob, jak se proti malwaru v paměti bránit na základě toho, jak se chová. Zjistili, že útočný kód sdílí běžné chování v paměti bez ohledu na typ kódu nebo jeho účel.

  • Na rozdíl od běžných softwarových aplikací, které jsou nainstalovány v hlavní oblasti paměti, je útočný kód vložen do části paměti známé jako „halda“ (heap). Halda poskytuje dočasný, dodatečný paměťový prostor aplikacím, které potřebují určitý prostor navíc, například pro uložení nebo rozbalení kódu. 
  • Protivníci přidávají svůj útočný kód postupně. Nejprve se do paměti vloží malý soubor, označovaný jako „zavaděč“ (loader). Zavaděč pak potřebuje další paměťový prostor haldy, aby vyhověl potřebám cíle útoku, kterým by mohlo být zavedení agenta pro vzdálený přístup, jako je Cobalt Strike. Aby se mohl malware spustit, potřebuje další paměť, aby mohla být přidělena „spouštěcí“ oprávnění. 

Výzkumníci společnosti Sophos navrhli praktickou ochranu s názvem Dynamic Shellcode Protection, která blokuje přidělení spouštěcích oprávnění z jedné haldy do jiné. „Zabránit útočníkům, aby se zmocnili napadené sítě, je cílem všech obránců,“ říká Mark Loman, technický ředitel společnosti Sophos. „Tento cíl je kriticky důležitý, protože jakmile je agent pro vzdálený přístup nainstalován, může usnadnit většinu aktivních taktik protivníků, které lze během útoku využít. Patří mezi ně spouštění kódu, přístup k pověřením, eskalace oprávnění, průzkum, úhybné manévry, shromažďování dat, jejich exfiltrace a nasazení ransomwaru.“ 

Kód určený ke škodlivému použití se vyhýbá detekci tím, že je silně obfuskován a zabalen a načte se přímo do paměti. Paměť počítače není bezpečnostními nástroji rutinně skenována, takže i když je kód de-obfuskován a rozbalen, aby mohl být spuštěn, jeho přítomnost často není detekována. Sophos identifikoval charakteristickou alokaci paměti typu „halda – halda“, která je typická pro vícestupňové agenty pro vzdálený přístup a další útočné kódy načítané do paměti, a vytvořila proti nim ochranu.

Funkce Dynamic Shellcode Protection byla integrována do řešení Sophos Intercept X. Jejím současným přínosem je odhalování přítomnosti útoku Cobalt Strike a ransomwaru Conti v paměti.

Obecná doporučení pro obranu proti ransomwaru

  1. Vypněte internetový protokol pro přístup ke vzdálené ploše (RDP), abyste zabránili kyberzločincům v přístupu k sítím. 
  2. Pokud přístup k RDP potřebujete, umístěte jej za VPN připojení. 
  3. Používejte vrstvenou koncepci zabezpečení k prevenci, ochraně a detekci kybernetických útoků, včetně řešení typu endpoint detection and response (EDR) a řízených týmů pro odezvu, které dohlížejí na sítě 24 hodin denně, 7 dní v týdnu. 
  4. Pamatujte na pět včasných indikátorů přítomnosti útočníka pro možnost zastavení ransomwarových útoků. 
  5. Připravte si efektivní plán reakce na incidenty a podle potřeby jej aktualizujte. Pokud si nejste jisti, že máte dovednosti nebo zdroje, které vám pomohou se připravit, monitorovat hrozby nebo reagovat na mimořádné události, zvažte pomoc externích odborníků

Více informací k problematice naleznete v článku o výsledcích nového výzkumu Gootloader rozšiřuje možnosti realizace svého účelu, který ukazuje, jak Gootloader injektuje bezsouborový malware přímo do paměti, kde může být detekován novou funkcí Dynamic Shellcode Protection od společnosti Sophos.

Bez zajímavosti není ani trojdílná série o ransomwaru Conti, která zahrnuje analýzu útoku ransomwaru Conti, včetně indikátorů, kompromitování, taktik, technik a postupů – Útok ransomwaru Conti den po dni;  technický přehled od výzkumníků SophosLabs Ransomware Conti: Přirozeně vyhýbavý; a základního průvodce pro správce IT Co očekávat, když jste byli napadeni ransomwarem Conti. S bojem proti těmto hrozbám může pomoci služba Sophos Rapid Response, která zahrnuje neutralizaci a prošetřování útoků v režimu 24/7.