Jesteś na celowniku HTA
Nowe zagrożenie omija programy antywirusowe. Nie zostawia śladów dla śledczych na dysku twardym Twojego komputera. Czyni z Ciebie terrorystę.
Tak w skrócie wygląda opisany przez zespół Microsoft nowy system zagrożeń. Przełamują one stereotypy jakie wynikają z potocznego rozumienia subkultury Virri. Odłam haktywistów rozpoczął od lat osiemdziesiątych wyścig kto stworzy silniejszego wirusa. Dziś w rękach przestępców subkultura Virii ewoluowała w kierunku zdalnego kierowania dziesiątkami komputerów dla zbrodniczych celów. Microsoft w ramach AMSI (Antimalware Scan Interface) stworzył otwarty dla innych interfejs, czyli sposób komunikacji programów antywirusowych z systemem operacyjnym. Jest to konieczne, bo nowe zagrożenie używają stron internetowych do zamienia odwiedzających je użytkowników w tak zwane “zombie”, czyli zdalnie zarządzanych podwykonawców przestępstw.
Dla przeciętnej osoby wirus komputerowy łączy się z plikiem przenoszonym na pendrivie (wcześniej dyskietce), lub programem z doczepionym załącznikiem. Są to tak zwane zagrożenia plikowe. Techniki bezplikowe wykraczają poza klasyczny schemat, bo wykorzystują aplikacje umieszczane na stronach internetowych (tak zwane HTA - HTML Applications). Zagrożenie tego rodzaju powodują, że źródle infekcji może być słabo zabezpieczony portal informacyjny, czy rozrywkowy. Jest to możliwe dzięki potrzebie interakcji na stronach internetowych. Takie rozwiązania, jak skrypty Java Script pozwalają na dynamiczne galerie, gry w przeglądarkach, czy dodawanie efektów specjalnych w rodzaju padającego śniegu. Przykładowo w 2017 roku opisano w biuletynie Microsoft technikę ataku Sharpshooters. Pozwala ona na uruchomienie programu z biblioteki.NET bezpośrednio z pamięci komputera. Brzmi to niepozornie, lecz to znaczy nic innego, jak uruchamianie programów z przeglądarki bez wpierw ściągania czegoś na dysk i klikania na ściągnięty plik. W efekcie typowe programy antywirusowe są bezsilne jeśli ich głównym zadaniem jest tylko blokowanie uruchamiania “nieznanych aplikacji”.
Ze strony technicznej w uproszczeniu programy dzielą się na dwa rodzaje - jako skrypty (Python, JS), czyli zbiór poleceń interpretowanych przez specjalny program, lub wykonywalne - samodzielne i pozbawione potrzeby korzystania z zewnętrznych pomocników. Klasyczny system, jak wirus Kovter wymagały zapisu na dysku (w tym przypadku w tak zwanym rejestrze komputera). Zagrożenia HTA używają metody “opuszczania ziemi” (living off the land). Przykładowo Trojan Holiks wykorzystuje plik mshta.exe (Microsoft HTML Application Host) do niecnych czynów. Podszywają się pod zaufane elementy oprogramowania i tak obchodzą zabezpieczenia. Wykorzystują je do przesyłania na komputer ofiary kodu skryptu np. VBS, czy JS, które po uruchomieniu zakładają łącznik z systemem maszyn uzależnionych od przestępców przez modyfikowanie jego elementów i zapisywanie w ukryciu programów.
Przewrotność ataków z HTA kryje się w tym, że osoba przeglądająca stronę nie ma pojęcia, że przez otwarcie strony zachowuje się tak, jakby ładowała nieznany załącznik z podejrzanej wiadomości e-mail. Stąd jedyną bronią okazuje się wyłączenia skryptów w przeglądarce. Dodatkowo konieczne jest korzystanie z aplikacji antywirusowych wyposażonych w mechanizmy behawioralne, czyli analizujące, czy system działa zgodnie z normami, a nie w sposób wykraczający poza ustalone wzorce (wysyłanie dużych porcji danych, przeciążanie procesora przez pomocnicze elementy systemu w nietypowych operacjach i tym podobne).
Dodatkowo problem komplikuje fakt, że HTA jest wierzchołkiem góry lodowej. Stanowi element większej rodziny. Do niej należy wykorzystywanie błędów w operacjach plików (Flash, Java, dokumenty z makrami), błędów w komunikacji sieciowej (jak WannaCry), czy wysoce zaawansowane sprzętowe. Wykorzystują ingerencje w oprogramowanie wewnętrzne sprzętu od procesora na USB skończywszy.
Od 27 września 2019 wskutek raportu Cisco Talos wykryto nową odmianę HTA znaną pod kodową nazwą Divergent. Stanowi najnowszą wersję tego zagrożenia. Dzięki wbudowanemu w Windows mechanizmowi WMI jest w stanie nawet określić jaki antywirus jest zainstalowany w systemie. Po wejściu do komputera ofiary przeistacza się w zdalne centrum do kierowania z uruchamianiem, pobieraniem danych i innych typowych operacji włącznie. Dla ukrycia swej tożsamości używa między innymi certyfikatów Windows. Podczas infekcji ukrywa przed użytkownikiem części menu oraz okien, aby ofiara była niejako zmuszona. Tym sposobem pozwala na zrobienie ze swoim celem wszystko od wykopywania na jej koszt kryptowalut po wykorzystaniem jej komputera do cyberterroryzmu.
Jacek Skrzypacz
Źródło: Jacek Skrzypacz
