Antywirusy w formie – czyli jak przestępcy unikają detekcji

Firma ANY.RUN może wywoływać kontrowersje, jednak dzisiaj chcemy skupić się na technikach, które opisali na swoim twitterze/x. Podobne metody, wykorzystujące różne aspekty formatu ZIP były już wykorzystywane w przeszłości. Wedle informacji udostępnionych we wpisie, metody te wykryto w czasie trwających obecnie kampanii.

TLDR:

• ANY.RUN opisał technikę, którą przestępcy wykorzystują w nowych kampaniach, aby uniknąć wykrycia przez oprogramowanie antywirusowe
• Atak wykorzystuje funkcję “naprawiania” uszkodzonego pliku, w szczególności chodzi o pakiet Office oraz formaty z nim związane, a także archiwa ZIP
• Uszkodzone pliki nie są parsowane/rozpakowywane poprawnie przez AV, co powoduje, że złośliwe dodatki nie są wykrywane

Pliki pakietu Office (czyli Office Open XML), to tak naprawdę archiwa ZIP wypełnione głównie plikami XML. Ponieważ przesyłanie danych przez sieć oraz nośniki bywają zawodne, to stosunkowo często pliki (trzeba nadmienić że MS Office jest bardzo często wykorzystywany w środowiskach korporacyjnych) Excela, Worda czy PowerPointa ulegają uszkodzeniu. Ponieważ  z backupami bywa różnie, dlatego też, aby poprawić komfort użytkownika, MS Office podejmuje próbę naprawy pliku. Polega to na idei odzyskania zawartości plików XML, odbudowie ich struktury, odtworzeniu zależności między plikami (położenie grafik) etc. Dzięki temu, delikatnie uszkodzony plik,może zostać odtworzony (najwyżej ze stratą, np. stylu) i poprawnie otwarty przez oprogramowanie. 

Zastanawiając się z grubsza, jak działają antywirusy, można (pomijając część nowych “inteligentnych” rozwiązań i innych buzzwordów) dojść do wniosku, że są to wieloformatowe, naprawdę rozbudowane parsery plików, które mogą obsługiwać np. rozpakowywanie archiwów w celu przeskanowania ich zawartości. 

ANY.RUN zauważa, że uszkodzone pliki DOCX/ZIP mogą być niepoprawnie obsłużone przez AV. Program antywirusowy, w wyniku braku dopasowania znanych wzorców (detekcja z wykorzystaniem sygnatur i heurystyk), może wskazać plik jako bezpieczny. W rzeczy samej, uszkodzone archiwum do niczego się nie nadaje. Jeśli jednak uszkodzenie da się odwrócić, co więcej po stronie ofiary, a naprawa będzie przebiegać w sposób bardzo prosty (np. automatyczny), to otrzymujemy wręcz idealny mechanizm obchodzenia statycznych metod detekcji. Wystarczy, że później ofiara uruchomi nasz plik i poprosi pakiet Office o jego naprawę. W wyniku tych działań zostanie utworzony poprawny (w sensie syntaktycznym) plik, którego złośliwy payload (po przetrwaniu metod naprawczych) zostanie uruchomiony na systemie ofiary. 

Reasumując, opracowanie metod obrony to wielowątkowy i złożony proces. Zespoły zajmujące się rozwojem antywirusów (ale problem ten można też ekstrapolować na wszelkie inne rozwiązania opierające się na sygnaturach jak firewalle aplikacyjne – WAF), muszą pamiętać że złośliwy ładunek nie musi być “groźny” w tranzycie, tzn. może stanowić zagrożenie dopiero w momencie jego przetworzenia przez system (np. poprzez przywrócenie poprawności formatu pliku). 

~fc