Las protecciones basadas en la reputación se crearon para mejorar significativamente las capacidades de detección y, al mismo tiempo, mantener bajas las tasas de falsos positivos. Sin embargo, como cualquier capacidad de protección, existen debilidades y es posible eludirlas.
Comprender estas debilidades permite a los defensores centrar su ingeniería de detección en las principales brechas de cobertura. En este artículo de Elastic Security, se explora Windows Smart App Control y SmartScreen como un caso de estudio para investigar debilidades y las formas de eludir los sistemas basados en la reputación.
Salteo de SmartScreen/SAC
Microsoft SmartScreen
ha sido una característica integrada del sistema operativo desde Windows 8.
Funciona en archivos que tienen la
«Marca de la Web» (MotW)
y en los que los usuarios hacen clic. Microsoft introdujo
Smart App Control (SAC)
con el lanzamiento de Windows 11. SAC es, en cierto modo, una evolución de
SmartScreen.
Microsoft afirma
que
«agrega una protección significativa contra amenazas nuevas y emergentes al
bloquear aplicaciones que son maliciosas o no confiables». Funciona consultando un servicio en la nube de Microsoft cuando se ejecutan
las aplicaciones. Si se sabe que son seguras, se les permite ejecutarse; sin
embargo, si se desconocen, solo se ejecutarán si tienen una firma de firma de
código válida. Cuando SAC está habilitado, reemplaza y deshabilita Defender
SmartScreen.
Malware firmado
Una forma de eludir el control de aplicaciones inteligente es simplemente
firmar el malware con un certificado de firma de código. Incluso antes de SAC,
existía una tendencia a que los atacantes firmaran su malware para evadir la
detección. Más recientemente, los atacantes han obtenido rutinariamente
certificados de firma de validación extendida (EV). Los EV requieren una
prueba de identidad para obtener acceso y solo pueden existir en tokens de
hardware especialmente diseñados, lo que los hace difíciles de robar. Sin
embargo, los atacantes han encontrado formas de hacerse pasar por empresas y
comprar estos certificados. El grupo de amenazas detrás de
SolarMarker
ha aprovechado
más de 100 certificados
de firma únicos en sus campañas. Las autoridades de certificación (CA)
deberían hacer más para acabar con el abuso y minimizar los certificados
adquiridos de manera fraudulenta. Puede ser necesaria una mayor investigación
pública para aplicar presión sobre las CA que venden con mayor frecuencia
certificados fraudulentos.
Alteración de la reputación
Una tercera clase de ataque contra los sistemas de reputación es la alteración
de la reputación. Normalmente, los sistemas de reputación utilizan sistemas de
hash criptográficamente seguros para que la alteración sea inviable.
Sin embargo, con ciertas modificaciones a un archivo, la reputación SAC no
cambia.
Sorprendentemente, algunas secciones de código se pueden modificar sin perder
su reputación asociada. A través de prueba y error y ML, se pueden identificar
segmentos que se pueden alterar de forma segura y mantener la misma
reputación.
LNK Stomping
Cuando un usuario descarga un archivo, el navegador creará un archivo
«Zone.Identifier» asociado en un flujo de datos alternativo conocido
como Mark of the Web (MotW). Esto permite que otros programas (incluidos AV y
EDR) del sistema sepan que el archivo es más riesgoso. SmartScreen solo
escanea archivos con Mark of the Web.
SAC bloquea por completo ciertos tipos de archivos si lo tienen. Esto hace que
los eludidores de MotW sean un objetivo de investigación interesante, ya que
generalmente pueden llevar a eludir estos sistemas de seguridad. Los grupos de
amenazas con motivaciones económicas han descubierto y aprovechado
múltiples vulnerabilidades para eludir los controles de MotW. Estas técnicas implicaban agregar firmas de código creadas e inválidas a
archivos Javascript o MSI.
Durante una
investigación de Elastic Security, se toparon con otra evasión de MotW que es fácil de explotar. Implica la
creación de archivos LNK que tienen rutas de destino o estructuras internas no
estándar. Al hacer clic, explorer.exe modifica estos archivos LNK con
el formato canónico. Esta modificación implica la eliminación de la etiqueta
MotW antes de que se realicen los controles de seguridad.
La demostración más sencilla de este problema consiste en añadir un punto o un
espacio a la ruta del ejecutable de destino (por ejemplo,
powershell.exe). Otra posibilidad es crear un archivo LNK que contenga
una ruta relativa, como .\target.exe.
Después de hacer clic en el enlace, explorer.exe buscará y encontrará
el nombre .exe correspondiente, corregirá automáticamente la ruta
completa, actualizará el archivo en el disco (eliminando MotW) y, finalmente,
ejecutará el destino. El uso de LNK puede tener muchas variantes, lo que
dificulta la detección basada en firmas en archivos LNK. Sin embargo, todas
ellas deberían desencadenar una señal de comportamiento similar:
explorer.exe sobrescribiendo un archivo LNK. Esto es especialmente
anómalo en la carpeta de descargas o cuando el LNK tiene la marca de la Web.
Se identificaron varias muestras en VirusTotal que presentan el error, lo que
demuestra que existe un uso incontrolado. La
muestra más antigua identificada
se envió hace más de 6 años. Todavía no está claro si el error se solucionar
en una futura actualización de Windows.
Fuente:
Elastic Security