- Για πρώτη φορά αρχεία Office της μορφής “.ZIP past” αναγνωρίζονται ως ο πιο κοινός τύπος κακόβουλου αρχείου
- Η έκθεση HP Wolf Security αποκαλύπτει ότι ο δυναμικός συνδυασμός αρχειοθέτησης και παράνομης διακίνησης αρχείων HTML βοηθά τους εγκληματίες του κυβερνοχώρου να ξεγελάσουν τα εργαλεία ανίχνευσης
Η HP Inc. δημοσίευσε την έκθεση Threat Insights της HP Wolf Security του τρίτου τριμήνου, στην οποία διαπιστώνεται ότι μορφές αρχειοθέτησης αρχείων – όπως τα αρχεία ZIP και RAR – ήταν οι πιο κοινοί τύποι αρχείων για τη διανομή κακόβουλου λογισμικού, ξεπερνώντας για πρώτη φορά τα αρχεία Office μετά από τρία χρόνια. Η έκθεση αυτή παρέχει μια αναλυτική αναφορά των επιθέσεων στον κυβερνοχώρο σε πραγματικές συνθήκες, βοηθώντας τους οργανισμούς να συμβαδίζουν με τις τελευταίες τεχνικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να αποφεύγουν την ανίχνευση και να παραβιάζουν τους χρήστες στο ταχέως μεταβαλλόμενο τοπίο του κυβερνοεγκλήματος.
Με βάση δεδομένα από εκατομμύρια endpoints όπου εκτελείται το HP Wolf Security, η έκθεση έδειξε ότι το 44% του κακόβουλου λογισμικού παραδόθηκε μέσα από φακέλους αρχειοθέτησης αρχείων – αύξηση 11% σε σχέση με το προηγούμενο τρίμηνο – σε σύγκριση με το 32% που παραδόθηκε μέσω αρχείων Office, όπως το Microsoft Word, το Excel και το PowerPoint.
Η έκθεση εντόπισε διάφορες ενέργειες που συνδύαζαν τη χρήση αρχείων με νέες τεχνικές παράνομης διακίνησης HTML – όπου οι εγκληματίες του κυβερνοχώρου ενσωματώνουν κακόβουλα αρχεία σε αρχεία HTML για να παρακάμψουν τις πύλες ηλεκτρονικού ταχυδρομείου – ώστε στη συνέχεια να εξαπολύσουν επιθέσεις.
Για παράδειγμα, οι πρόσφατες εκστρατείες QakBot και IceID χρησιμοποίησαν αρχεία HTML για να κατευθύνουν τους χρήστες σε ψεύτικα διαδικτυακά προγράμματα προβολής εγγράφων που εμφανίζονταν ως Adobe. Στη συνέχεια, οι χρήστες έλαβαν οδηγίες να ανοίξουν ένα αρχείο ZIP και να εισάγουν έναν κωδικό πρόσβασης για να αποσυμπιέσουν τα αρχεία, τα οποία στη συνέχεια δημιουργούσαν κακόβουλο λογισμικό στους υπολογιστές τους.
Καθώς το κακόβουλο λογισμικό στο αρχικό αρχείο HTML είναι κωδικοποιημένο και κρυπτογραφημένο, η ανίχνευση από την πύλη ηλεκτρονικού ταχυδρομείου ή άλλα εργαλεία ασφαλείας είναι πολύ δύσκολη. Αντ’ αυτού, αυτός που επιτίθεται διαδικτυακά βασίζεται στην Κοινωνική Μηχανική (χειραγώγηση με σκοπό την απόσπαση πληροφοριών), δημιουργώντας μια πειστική και καλά σχεδιασμένη ιστοσελίδα για να ξεγελάσει τους χρήστες ώστε να ξεκινήσουν οι ίδιοι την επίθεση ανοίγοντας το κακόβουλο αρχείο ZIP. Τον Οκτώβριο, οι ίδιοι επιτιθέμενοι εντοπίστηκαν επίσης να χρησιμοποιούν ψεύτικες σελίδες του Google Drive σε μια συνεχή προσπάθεια να εξαπατήσουν τους χρήστες ώστε να ανοίξουν κακόβουλα αρχεία ZIP.
“Τα αρχεία είναι εύκολο να κρυπτογραφηθούν, βοηθώντας τους φορείς απειλών να αποκρύψουν κακόβουλο λογισμικό και να αποφύγουν τα web proxies, τα sandboxes ή τους σαρωτές ασφαλείας του ηλεκτρονικού ταχυδρομείου. Αυτό καθιστά δύσκολη την ανίχνευση των επιθέσεων, ειδικά όταν συνδυάζονται με τεχνικές παράνομης διακίνησης HTML. Αυτό που ήταν ενδιαφέρον με τις εκστρατείες QakBot και IceID ήταν η προσπάθεια που καταβλήθηκε για τη δημιουργία ψεύτικων σελίδων – αυτές οι εκστρατείες ήταν περισσότερο πειστικές από ό,τι έχουμε δει στο παρελθόν, καθιστώντας δύσκολο για τους ανθρώπους να γνωρίζουν ποια αρχεία μπορούν και ποια δεν μπορούν να εμπιστευτούν”, εξηγεί ο Alex Holland, Senior Malware Analyst, από την ομάδα HP Wolf Security threat research της HP Inc.
Η HP εντόπισε επίσης μια σύνθετη εκστρατεία επίθεσης που χρησιμοποιεί μια αλυσίδα μόλυνσης με διαβαθμίσεις, η οποία θα μπορούσε ενδεχομένως να επιτρέψει στους επιτιθέμενους να αλλάξουν το ωφέλιμο φορτίο (το τμήμα του κακόβουλου λογισμικού που εκτελεί την κακόβουλη/ μολυσματική ενέργεια) – όπως spyware, ransomware, keylogger – στη μέση της εκστρατείας επίθεσης ή να εισάγουν νέα χαρακτηριστικά, όπως geo-fencing. Αυτό θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να αλλάξει τακτική ανάλογα με τον στόχο που έχει παραβιάσει. Ακόμα πιο δύσκολο για τις πύλες ηλεκτρονικού ταχυδρομείου να ανιχνεύσουν αυτόν τον τύπο επίθεσης είναι η μη συμπερίληψη κακόβουλου λογισμικού απευθείας στο συνημμένο αρχείο που αποστέλλεται στον στόχο.
“Όπως φαίνεται, οι επιτιθέμενοι αλλάζουν συνεχώς τεχνικές, καθιστώντας πολύ δύσκολο τον εντοπισμό τους από τα εργαλεία ανίχνευσης”, σχολιάζει ο Dr. Ian Pratt, Global Head of Security for Personal Systems, της HP Inc. “Ακολουθώντας την αρχή της μηδενικής εμπιστοσύνης (Zero Trust) για την απομόνωση των διαδικασιών επίθεσης σε επίπεδο λεπτομέρειας, οι οργανισμοί μπορούν να χρησιμοποιούν το micro-virtualization για να διασφαλίσουν ότι οι δυνητικά κακόβουλες εργασίες – όπως το να κάνουν κλικ σε συνδέσμους ή το άνοιγμα κακόβουλων συνημμένων αρχείων – εκτελούνται σε μια εικονική μηχανή μιας χρήσης που διαχωρίζεται από τα υποκείμενα συστήματα. Αυτή η διαδικασία είναι εντελώς αόρατη για τον χρήστη και παγιδεύει οποιοδήποτε κακόβουλο λογισμικό κρύβεται μέσα σε αυτήν, διασφαλίζοντας ότι οι επιτιθέμενοι δεν έχουν πρόσβαση σε ευαίσθητα δεδομένα και εμποδίζοντάς τους να αποκτήσουν πρόσβαση και να κινηθούν πλαγίως”.
Η HP Wolf Security εκτελεί επισφαλείς εργασίες, όπως το άνοιγμα συνημμένων email, η λήψη αρχείων και το κλικ σε συνδέσμους σε απομονωμένες μικρο-εικονικές μηχανές (micro-VM) για την προστασία των χρηστών, καταγράφοντας λεπτομερή ίχνη των προσπαθειών μόλυνσης. Η τεχνολογία απομόνωσης εφαρμογών της HP μετριάζει τις απειλές που μπορούν να ξεφύγουν από άλλα εργαλεία ασφαλείας και παρέχει μοναδικές γνώσεις σχετικά με νέες τεχνικές εισβολής καθώς και τη συμπεριφορά των φορέων απειλών. Απομονώνοντας απειλές σε υπολογιστές που έχουν διαφύγει από τα εργαλεία ανίχνευσης, η HP Wolf Security έχει συγκεκριμένη εικόνα για τις πιο πρόσφατες τεχνικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Μέχρι σήμερα, οι πελάτες της HP έχουν κάνει κλικ σε πάνω από 18 δισεκατομμύρια συνημμένα email, ιστοσελίδες και κατεβασμένα αρχεία χωρίς να έχουν αναφερθεί παραβιάσεις.