Хакеры часто используют уязвимости в Windows Smart App Control и SmartScreen для внедрения вредоносного кода и приложений, что представляет значительные риски для пользователей и организаций. Эти недостатки безопасности позволяют злоумышленникам получать несанкционированный доступ, красть конфиденциальную информацию и нарушать целостность систем.
Уязвимость Windows Smart App Control
Функции безопасности Microsoft, SmartScreen и Smart App Control (SAC), предназначены для защиты пользователей от вредоносного программного обеспечения. Введенный в Windows 8, SmartScreen использует Mark of the Web, в то время как SAC в Windows 11 опирается на облачные сервисы для проверки безопасности приложений. Несмотря на эти защитные меры, злоумышленники разработали все более изощренные методы их обхода.
Согласно отчету Elastic Security Labs, в этих системах были выявлены уязвимости, позволяющие хакерам захватывать пользовательские системы. Постоянная борьба между разработчиками безопасности и злоумышленниками подчеркивает необходимость непрерывного совершенствования защитных стратегий.
Среди продвинутых методов, используемых злоумышленниками, можно выделить:
- Seeding: Этот метод включает обман пользователей с целью активации вредоносного ПО, замаскированного под безобидные бинарные файлы. Хотя эти бинарные файлы могут казаться безвредными, они содержат скрытые угрозы, которые активируются при определенных условиях. SAC особенно уязвим для этого типа атак, особенно при использовании базовых анти-эмуляционных техник.
- Манипуляция репутацией: Удивительно, но изменение файлов не всегда влияет на их репутацию в SAC. Это может происходить из-за нечетких хэширований или сравнений на основе машинного обучения, которые могут не полагаться на строгие криптографические хэш-функции. В результате хакеры могут манипулировать участками кода, сохраняя при этом доверенный статус приложения.
- Обход Mark of the Web (MotW): Значительная уязвимость связана с созданием LNK-файлов в определенных форматах. Проводник Windows обрабатывает эти файлы таким образом, что метка MotW удаляется до проведения любых проверок безопасности. Техники, такие как добавление символов в конец пути исполняемого файла или использование относительных путей для LNK-файлов, могут способствовать этому обходу.
Эти векторы атак были замечены в реальных образцах вредоносного ПО, причем некоторые техники обхода MotW датируются шестью годами назад. Устойчивость и эволюция этих методов подчеркивают постоянные вызовы в области кибербезопасности, требуя регулярных обновлений и улучшений защитных мер.
Из-за своей полиморфной природы атаки с захватом репутации особенно трудно обнаружить. Хотя блокировка известных вредоносных приложений является проактивным шагом, она часто оказывается реактивной. Более эффективные стратегии будут включать разработку поведенческих сигнатур для часто злоупотребляемых категорий программного обеспечения и тщательный мониторинг загруженных файлов, особенно тех, которые находятся в нестандартных каталогах.
Особое внимание следует уделять изменениям в LNK-файлах со стороны explorer.exe, что может указывать на попытки обхода MotW. В конечном итоге, надежный поведенческий мониторинг типичных атакующих техник остается критически важным, поскольку полагаться исключительно на защиту на основе репутации недостаточно для противодействия продвинутым угрозам.
