​Microsoft dne 8. 6. 2019 vydal na svém blogu článek, který popisuje detekci fileless útoku, na jehož konci dojde ke stáhnutí známého malwaru Astaroth. Tento malware dokáže odcizit citlivé informace z koncového systému (například uložené přihlašovací údaje) nebo dokáže odchytávat stisknuté klávesy. Samotný malware byl poprvé detekován již v roce 2018, tentokrát se však šíří pomocí fileless útoku a je tedy obtížně detekovaný pro tradiční antivirová řešení.

Princip fileless útoků spočívá v tom, že nedojde k uložení žádného škodlivého souboru na disk počítače. Klasická signaturní detekce kontroluje právě ukládané soubory a v případě, že v průběhu útoku není žádný soubor na disk uložen, je tento typ detekce nedostatečný.

Malwarová kampaň, na kterou Microsoft upozorňuje, využívá k rozšíření malwaru několik legitimních nástrojů zabudovaných v systému Windows. Jedná se hlavně o nástroj Windows Management Instrumentation Command-line (WMIC), což je nástavba na rozhraní Windows Management Instrumentation (WMI). Toto rozhraní využívají administrátoři pro správu systémů nebo skenovací aplikace či aplikace pro vzdálenou správu koncových systémů. Kromě uvedeného nástroje WMIC využívá tento útok také další legitimní nástroje systému Windows, například BITSadmin, Certutil nebo Regsvr. Tento typ útoku, který využívá legitimní nástroje systému k provádění škodlivých činností nebo k jejich maskování, se označuje jako „living off the land“.

Celý proces útoku je rozdělen do několika kroků. Pro jednoduché pochopení principu je důležité znát jen první část útoku. Útočník pošle oběti podvodný phishingový email s URL odkazem, na kterém se nachází ZIP archiv. Ten obsahuje soubor, po jehož otevření dojde k provedení dávkového souboru pro příkazový řádek systému Windows. V dalších krocích dojde ke spuštění nástroje WMIC, pomocí kterého jsou prováděny další části útoku a spouštěny další legitimní nástroje systému využívané k provádění škodlivých částí útoku. V konečné fázi dojde k načtení malwaru Astaroth jako DLL knihovny.

Díky využití výše uvedených nástrojů během útoku nedojde k uložení žádných škodlivých souborů na disk počítače, tj. je proveden tzv. fileless útok, a běžně používaná metoda detekce na základě signatur nedokáže tento typ malwarové nákazy detekovat.

Nic však není ztraceno a i proti těmto typům malwaru se dá bojovat. Nejlepší řešení je, aby koncové stanice a servery byly chráněny bezpečnostním řešením, které kromě klasické signaturní detekce disponuje i behaviorální analýzou nebo komponentou monitorující příkazy prováděné v příkazovém řádku a jemu podobných nástrojích. Důležité také je, aby takový produkt dokázal skenovat operace prováděné v operační paměti počítače. Většina pokročilejších řešeních již těmito nástroji disponuje.

Další možností, jak se nejen proti tomuto útoku bránit je školení uživatelů. Jak bylo zmíněno výše, první část útoku je rozeslání phishingového mailu, který obsahuje odkaz ke stažení ZIP archivu. Samotný ZIP archiv je neškodný, ale je spouštěčem celého komplexního procesu infikování systému. Uživatelé by měli mít na paměti, že je nebezpečné otevírat emaily, které jsou nevyžádané, od neznámých odesílatelů a vypadají podezřele.

Ačkoliv se tedy jedná o typ útoku, který může být pro tradiční antivirová řešení nedisponujícími dostatečnými detekčními mechanizmy neviditelný, neznamená to, že by ho nebylo možné odhalit. Důležité je mít bezpečnostní produkty, které dokážou detekovat aktuální typy útoků a malwaru. A stejně jako u většiny útoků, je stejně tak důležité mít řádně proškolené uživatele.

David Pecl Senior Security Specialist AEC a.s. david.pecl[@]aec.cz