Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

RenderShock: угроза нулевого щелчка через скрытую обработку файлов

1
3 мин
Современные угрозы в области кибербезопасности продолжают развиваться, становясь всё более изощрёнными и незаметными. Одной из таких угроз является платформа RenderShock — сложная атака с нулевым щелчком мыши (zero-click attack), которая использует пассивные методы обработки файлов в операционных системах и корпоративных средах. Вопреки традиционным вредоносным программам, требующим участия пользователя, RenderShock автоматически выполняет вредоносные действия, используя встроенные механизмы доверия и стандартные системные функции. RenderShock базируется на создании цепочек использования, которые эксплуатируют системы пассивной обработки файлов, такие как: Данные компоненты обрабатывают файлы и отображают их содержимое без явных действий пользователя — достаточно лишь выделить файл, чтобы запустить вредоносные процессы. Среди возможных последствий — удалённая загрузка данных, утечка NTLM-хэшей и выполнение произвольного кода. Ключевыми особенностями RenderShock являются: Одним из показ
Оглавление
Источник: www.cyfirma.com
Источник: www.cyfirma.com

Современные угрозы в области кибербезопасности продолжают развиваться, становясь всё более изощрёнными и незаметными. Одной из таких угроз является платформа RenderShock — сложная атака с нулевым щелчком мыши (zero-click attack), которая использует пассивные методы обработки файлов в операционных системах и корпоративных средах. Вопреки традиционным вредоносным программам, требующим участия пользователя, RenderShock автоматически выполняет вредоносные действия, используя встроенные механизмы доверия и стандартные системные функции.

Механизм работы RenderShock

RenderShock базируется на создании цепочек использования, которые эксплуатируют системы пассивной обработки файлов, такие как:

  • предварительный просмотр документов (Document Preview Handlers),
  • агенты индексации (Indexing Agents),
  • панель предварительного просмотра в проводнике Windows,
  • macOS Quick Look,
  • почтовые клиенты, включая Outlook.

Данные компоненты обрабатывают файлы и отображают их содержимое без явных действий пользователя — достаточно лишь выделить файл, чтобы запустить вредоносные процессы. Среди возможных последствий — удалённая загрузка данных, утечка NTLM-хэшей и выполнение произвольного кода.

Особенности и методы атаки RenderShock

Ключевыми особенностями RenderShock являются:

  • Встраивание вредоносного кода в метаданные файлов. Злоумышленники внедряют вредоносные элементы в метаданные, которые активируются при предварительном просмотре.
  • Использование файловых форматов и упаковщиков с высокой степенью скрытности. Это включает внедрение макросов в DOCX / XLSM, а также применение ZIP и ISO с встроенными .lnk-ярлыками, обходящими многие средства защиты.
  • Применение многоязычных форматов файлов. Данный подход сбивает с толку антивирусные и DLP-системы, затрудняя правильную интерпретацию содержимого и позволяя обойти обнаружение.
  • Удалённое внедрение шаблонов. Позволяет выполнять код во время предварительного просмотра документов, что обходят традиционные методы обнаружения макросов.

Одним из показательных примеров является вредоносный файл с расширением .lnk, который может инициировать у Windows загрузку иконок с удалённого сервера. Это может привести к утечке конфиденциальных данных авторизации и сделать возможным дальнейшие этапы атаки.

Возможности злоумышленников и масштабы атаки

RenderShock предоставляет злоумышленникам широкий спектр возможностей для атак, включая:

  • перечисление пользователей и хостов;
  • снятие отпечатков пальцев операционной системы;
  • сбор токенов NTLMv2 и запуск обратных SMB-вызовов для ретрансляционных атак;
  • выполнение произвольных команд в системе, способствующих дальнейшему проникновению и контролю.

Запуская обратные вызовы SMB, атака позволяет собирать критически важную информацию о структуре корпоративной сети, что увеличивает риск несанкционированного доступа.

Рекомендации по защите от RenderShock

Для противодействия RenderShock специалисты по кибербезопасности должны внедрять комплексные меры мониторинга, включающие:

  • анализ аномального поведения процессов, связанных с предварительным просмотром и синтаксическим разбором файлов;
  • корреляцию сетевой активности с файловыми событиями;
  • настройку оповещений на запросы к внешним ресурсам, инициируемые доверенными системными компонентами;
  • обновление системных политик и настроек безопасности для минимизации рисков обработки потенциально опасных файлов.

Только комплексный подход к мониторингу и защите позволит своевременно выявлять и нейтрализовать угрозы, подобные RenderShock.

Заключение

RenderShock — это яркий пример смены парадигмы в области файловых атак: теперь более опасными становятся неявные, «пассивные» пути выполнения кода без участия пользователя. Эта угроза подчёркивает важность постоянного развития средств детектирования и адаптации корпоративных систем безопасности, чтобы эффективно противостоять современным вызовам киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "RenderShock: угроза нулевого щелчка через скрытую обработку файлов".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гейминг
5,79 млн интересуются