Контрабанда кэша браузера продолжает оставаться одним из самых эффективных методов доставки вредоносного ПО. Используя механизмы кэширования, которые не претерпели значительных изменений за последние годы, злоумышленники осуществляют атаки на целевые объекты, внедряя вредоносные программы.
Механизм атаки
Как правило, поток атаки начинается с того, что целевой объект выполняет PowerShell, который вызывает rundll32.exe, что, в свою очередь, приводит к запуску Sihost.exe для загрузки вредоносного ПО или радиомаяка. Этот радиомаяк взаимодействует с сервером управления (C2).
Чтобы скрыть вредоносную активность, злоумышленники используют Microsoft Teams в качестве целевого процесса, полагаясь на ее HTTPS-туннели для скрытой связи. Метод заключается в создании вредоносной библиотеки DLL, которая выступает в роли прокси-сервера.
Стратегия маскировки
Вредоносная библиотека DLL размещается в каталоге localappdata, что позволяет Teams загружать её, не вызывая подозрений. При этом пользовательская библиотека предназначена для перенаправления законных вызовов API к настоящей целевой библиотеке DLL, что эффективно маскирует работу вредоносного ПО, сохраняя при этом функциональность.
Этот метод в значительной степени основан на тактике социальной инженерии и передовых методах доставки, позволяя обойти системы обнаружения.
Рекомендации по защите
Для снижения рисков, связанных с такими атаками, эксперты рекомендуют следующие меры:
- Ограничение доступа пользователей к потенциально опасным скриптовым движкам, таким как PowerShell.
- Использование таких мер безопасности, как AppLocker и Intune для более строгого контроля.
- Изменение политик выполнения, допускающее использование только подписанных скриптов.
- Запрет установки программного обеспечения в каталог localappdata.
- Использование групповой политики (GPO) для принудительной очистки кэша браузеров.
Особенно эффективно принудительное очищение кэша может быть в браузере Google Chrome, если настроить параметры реестра так, чтобы при закрытии браузера удалялись все потенциально опасные библиотеки DLL.
Обнаружение угроз
Хотя превентивные меры необходимы, создание надежных механизмов обнаружения также крайне важно. Внедрение правил мониторинга, позволяющих предупреждать администраторов о любых несанкционированных процессах, таких как попытки доступа к базам данных кэша браузера через PowerShell, поможет сигнализировать о возможных попытках взлома.
Такой двойной подход к предотвращению и обнаружению формирует надежную стратегию защиты от контрабанды кэша браузера и подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Контрабанда кэша браузера: угроза и защитные меры".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
