מתקפות סייבר
אינסיילו חושפת "מתקפת דופלגנג" העוקפת לחלוטין פתרונות אנטי וירוס
enSilo, המציעה פלטפורמה מקיפה להגנה על תחנות קצה, אשר עוצרת בזמן אמת תקיפות זדוניות טרם ובמהלך פעילותן, פרסמה מחקר אבטחת סייבר במסגרת BlackHat Europe. המחקר חושף כיצד עברייני רשת מנצלים מאפיינים פנימיים של Microsoft Windows באופן המאפשר לתוכנות כופר ואיומים אחרים לחמוק מהרדאר של רוב תוכנות ההגנה, האנטי וירוסים המובילים בשוק, כמו גם מוצרי אבטחת NGAV (אנטי וירוס הדור הבא) המגינים על מחשבי קצה, שרתים ומכשירים רגישים אחרים בארגונים.
במחקר "Lost in Transaction: Process Doppelgenging" הציגו חוקרי אינסיילו, יוג'ין קוגן, טל ליברמן ועמרי משגב, כיצד ניתן להסתיר פעילות זדונית עמוק בתוך מערכת ההפעלה באמצעות מניפולציה בדרך בה מערכת חלונות מטפלת בפעולות של קבצים. באמצעות הסוואתן של פעולות זדוניות כתהליכים רגילים ולגיטימיים, קוגן, ליברמן ומשגב מצאו דרך אפקטיבית בה אפילו תוקפים בעלי רמת תחכום נמוכה יחסית יכולים להעניק חיים חדשים לאיומי קוד זדוני שכבר מוכרים היטב לספקי אבטחה. ברגע שהוסתרו באמצעות "דופלגנגר" (Process Doppelgänging), איומים אלה יכולים לפגוע גם בגרסאות המעודכנות ביותר של מערכת חלונות, אפילו כאשר מופעלים אנטי וירוס ומוצרי NGAV מעודכנים. איומים אלה יכולים לאחר מכן לבצע מתקפת כופר על קבצים, לאסוף הקשות מקלדת או לגנוב מידע רב ערך.
בנוסף לעיוורון של מנגנוני ההגנה המוטמעים במערכת חלונות ושל מוצרי אנטי וירוס ו-NGAV בפני האיומים, Process Doppelgänging מעניק לתוקפים יתרון נוסף בכך שהוא לא מותיר עדויות – בכך, סוג זה של חדירה מקשה מאוד על זיהוי המתקפה בדיעבד באמצעות טכניקות הפורנזיקה העדכניות.
לקוחות אינסיילו כבר מוגנים מפני התקפות מבוססות Process Doppelgänging הפועלות בשטח, באמצעות פלטפורמת ההגנה על נקודות הקצה, מתקיפות זדוניות טרם ובמהלך פעילותן. הפלטפורמה משלבת הגנת נקודות קצה ותגובה (EDR) אוטומטית, עם מאפיינים של ציד איומים (Threat Hunting), תגובה לאירועים והפעלת עדכונים. הגישה המשולבת של enSilo מזהה ועוצרת התקפות המתחזות לתהליכים לגיטימיים של חלונות, ומספקת בכך למשתמשים שקט נפשי נוסף – במקום חוסר הוודאות ועומס הניהול שנובעים משימוש במספר כלים נפרדים להגנה על נקודות קצה.
"שיטת ה'דופלגנג' שחשפנו ממנפת מספר מנגנונים מורכבים במערכת ההפעלה של חלונות, ומתבססת על ידע עמוק של הדרך בה פועלים מנועי סריקה של קבצים באנטי וירוסים. שילוב בין כל אלה יוצר הסוואה של הקוד זדוני כקוד לגיטימי, ומאפשר לעקוף את כל מוצרי האבטחה שנבדקו", מסביר ליברמן.
"זו דוגמה נוספת לדרך בה מספר מניפולציות קטנות בקוד, המתבססות על הבנה עמוקה של מערכת ההפעלה, הן כל מה שנדרש כדי לעקוף שכבות זיהוי מרובות ומנגנוני הגנה מסורתיים", אמר קוגן. "המחקר שלנו מראה כי אפילו ההגנות העדכניות ביותר הופכות ללא רלוונטיות אל מול המאמץ היצירתי של תוקף להטמין מטען זדוני דרך הערוצים הפנימיים של מערכת חלונות".
במטרה לאפשר לחברות אבטחה נוספות לחקור את השיטה שהוצגה ולפתח שיטות הגנה כנגדה, אינסיילו תציע בדיקת אבחון של תוכנות הגנה כנגד Process Doppelgänging. הבדיקה, שנכתבה ע"י עמרי משגב, תאפשר הרצה של נוזקה ידועה ללא שימוש בטכניקה, אשר אמורה להחסם ע"י מוצרי אבטחה, ולאחר מכן הרצה נוספת המשתמשת בטכניקה, אשר לא תתפס ברוב המוצרים.
הבחירה בקוגן וליברמן להציג ב-Black Hat Europe היא הכרה נוספת במאמץ הבלתי נדלה של צוות החוקרים המוערך של אינסיילו להגן על לקוחות החברה ועל קהילת האבטחה הרחבה מפני איומים חדשים. אינסיילו כבר זכתה בעבר בהכרה על חשיפה נרחבת של סיכוני אבטחה במערכות הפעלה מרכזיות ושל שיטות תקיפה חדשניות. אלה כוללים את ההצעה לעדכון העצמאי ESTEEMAUDIT של מערכת חלונות כנגד פגיעות בפרוטוקול שולחן העבודה המרוחק, ההצגה של מתקפות AtomBombing המזריקות קוד זדוני דרך טבלאות atom של מערכת חלונות, וחשיפה כיצד תוקפים יכולים לחטוף מאפיינים של מוצרי אנטי וירוס כדי להביס אמצעי אבטחה.
המחקר של אינסיילו זמין להורדה כאן. ניתן גם להירשם לוובינר חינמי ופתוח בנושא Process Doppelgänging עם טל ליברמן, המספק סקירה מלאה של האיומים וההגנות.