Las protecciones basadas en la reputación se crearon para mejorar significativamente las capacidades de detección y, al mismo tiempo, mantener bajas las tasas de falsos positivos. Sin embargo, como cualquier capacidad de protección, existen debilidades y es posible eludirlas.
Comprender estas debilidades permite a los defensores centrar su ingeniería de detección en las principales brechas de cobertura. En este artículo de Elastic Security, se explora Windows Smart App Control y SmartScreen como un caso de estudio para investigar debilidades y las formas de eludir los sistemas basados en la reputación.
Salteo de SmartScreen/SAC
Microsoft SmartScreen ha sido una característica integrada del sistema operativo desde Windows 8. Funciona en archivos que tienen la "Marca de la Web" (MotW) y en los que los usuarios hacen clic. Microsoft introdujo Smart App Control (SAC) con el lanzamiento de Windows 11. SAC es, en cierto modo, una evolución de SmartScreen. Microsoft afirma que "agrega una protección significativa contra amenazas nuevas y emergentes al bloquear aplicaciones que son maliciosas o no confiables". Funciona consultando un servicio en la nube de Microsoft cuando se ejecutan las aplicaciones. Si se sabe que son seguras, se les permite ejecutarse; sin embargo, si se desconocen, solo se ejecutarán si tienen una firma de firma de código válida. Cuando SAC está habilitado, reemplaza y deshabilita Defender SmartScreen.
Malware firmado
Una forma de eludir el control de aplicaciones inteligente es simplemente firmar el malware con un certificado de firma de código. Incluso antes de SAC, existía una tendencia a que los atacantes firmaran su malware para evadir la detección. Más recientemente, los atacantes han obtenido rutinariamente certificados de firma de validación extendida (EV). Los EV requieren una prueba de identidad para obtener acceso y solo pueden existir en tokens de hardware especialmente diseñados, lo que los hace difíciles de robar. Sin embargo, los atacantes han encontrado formas de hacerse pasar por empresas y comprar estos certificados. El grupo de amenazas detrás de SolarMarker ha aprovechado más de 100 certificados de firma únicos en sus campañas. Las autoridades de certificación (CA) deberían hacer más para acabar con el abuso y minimizar los certificados adquiridos de manera fraudulenta. Puede ser necesaria una mayor investigación pública para aplicar presión sobre las CA que venden con mayor frecuencia certificados fraudulentos.
Alteración de la reputación
Una tercera clase de ataque contra los sistemas de reputación es la alteración de la reputación. Normalmente, los sistemas de reputación utilizan sistemas de hash criptográficamente seguros para que la alteración sea inviable. Sin embargo, con ciertas modificaciones a un archivo, la reputación SAC no cambia.
Sorprendentemente, algunas secciones de código se pueden modificar sin perder su reputación asociada. A través de prueba y error y ML, se pueden identificar segmentos que se pueden alterar de forma segura y mantener la misma reputación.
LNK Stomping
Cuando un usuario descarga un archivo, el navegador creará un archivo "Zone.Identifier" asociado en un flujo de datos alternativo conocido como Mark of the Web (MotW). Esto permite que otros programas (incluidos AV y EDR) del sistema sepan que el archivo es más riesgoso. SmartScreen solo escanea archivos con Mark of the Web.
SAC bloquea por completo ciertos tipos de archivos si lo tienen. Esto hace que los eludidores de MotW sean un objetivo de investigación interesante, ya que generalmente pueden llevar a eludir estos sistemas de seguridad. Los grupos de amenazas con motivaciones económicas han descubierto y aprovechado múltiples vulnerabilidades para eludir los controles de MotW. Estas técnicas implicaban agregar firmas de código creadas e inválidas a archivos Javascript o MSI.
Durante una investigación de Elastic Security, se toparon con otra evasión de MotW que es fácil de explotar. Implica la creación de archivos LNK que tienen rutas de destino o estructuras internas no estándar. Al hacer clic, explorer.exe modifica estos archivos LNK con el formato canónico. Esta modificación implica la eliminación de la etiqueta MotW antes de que se realicen los controles de seguridad.
La demostración más sencilla de este problema consiste en añadir un punto o un espacio a la ruta del ejecutable de destino (por ejemplo, powershell.exe). Otra posibilidad es crear un archivo LNK que contenga una ruta relativa, como .\target.exe.
Después de hacer clic en el enlace, explorer.exe buscará y encontrará el nombre .exe correspondiente, corregirá automáticamente la ruta completa, actualizará el archivo en el disco (eliminando MotW) y, finalmente, ejecutará el destino. El uso de LNK puede tener muchas variantes, lo que dificulta la detección basada en firmas en archivos LNK. Sin embargo, todas ellas deberían desencadenar una señal de comportamiento similar: explorer.exe sobrescribiendo un archivo LNK. Esto es especialmente anómalo en la carpeta de descargas o cuando el LNK tiene la marca de la Web.
Se identificaron varias muestras en VirusTotal que presentan el error, lo que demuestra que existe un uso incontrolado. La muestra más antigua identificada se envió hace más de 6 años. Todavía no está claro si el error se solucionar en una futura actualización de Windows.
Fuente: Elastic Security